'Iniciar sesión con Apple' en otras aplicaciones no es buena idea, ¿sabes por qué?

Seguro que muchos de vosotros utilizáis servicios, páginas web y plataformas de pago que os piden una forma de identificación: bien con un usuario (email) y una contraseña, bien utilizando vuestras cuenta de Facebook y Google. El caso es que desde hace algo menos de un año, los de Cupertino tienen en el mercado una alternativa conocida como "Sign in with Apple" que nos permite utilizar nuestra ID para no tener que crear nuevas cuentas diferentes.

Durante su presentación en el pasado WWDC de 2019, se afirmó que se trataba de un sistema seguro, blindado, sin debilidades y que centraliza todo nuestro perfil con los californianos en aquellas aplicaciones que ofrecen esta posibilidad. Pues bien, no parece que ese "Inicia sesión con Apple" esté todo lo perfecto que debería porque los de Tim Cook han tenido que soltar una buena cantidad de dinero a un investigador que ha encontrado una vulnerabilidad importante. Crítica.

100.000 dólares de recompensa

Esa es la cantidad que los de Cupertino han pagado a Bhavuk Jain, un investigador de origen indio que encontró una falla de seguridad crítica en el sistema y que, para tranquilidad de todos los usuarios que la utilizan, ya ha sido parcheada, según la compañía. Por lo que, sobre el papel, debería ser complicado que unos hackers se puedan aprovechar. Y eso que Google hace algunos meses había elogiado esta plataforma de los de Tim Cook.

El caso es que gracias al problema detectado por el investigador, un atacante podía secuestrar la ID de Apple de un usuario, con el problema que eso supone porque sería darle acceso todos nuestros dispositivos: desde los datos que se almacenan de archivos, fotos, vídeos y documentos en iCloud, a las copias de seguridad, sin olvidar las funciones de "Buscar" que permiten borrados remotos de cualquier iPhone, iPad, Mac, etc. El destrozo que podrían provocar es enorme.

El investigador declaró que "descubrí que podía solicitar JWT (web token) para cualquier ID de correo electrónico de Apple, y cuando se verificó la firma de estos tokens utilizando la clave pública de Apple, se mostraron como válidos. Esto significa que un atacante podría falsificar un JWT al vincular cualquier ID de correo electrónico y obtener acceso a la cuenta de la víctima". Sin duda, un problema increíblemente peligroso para todos los que tienen en la nube de los californianos la mayor parte de todos sus datos.

Este problema no solo ocurría en los casos en los que el correo vinculado a una ID de Apple no se da a conocer a un tercero, por lo que podría utilizarse para "registrar una nueva cuenta con la ID de Apple" de la víctima. "El impacto de esta vulnerabilidad fue bastante crítico, ya que podría haber permitido una toma de control completa de la cuenta. Muchos desarrolladores han integrado 'Iniciar sesión con Apple', ya que es obligatorio para las aplicaciones que admiten otros inicios de sesión sociales. Por nombrar algunos que usan 'Iniciar sesión con Apple': Dropbox, Spotify, Airbnb o Giphy (ahora adquirido por Facebook)".