Une vulnérabilité critique dans le système "Connect with Apple" d'Apple aurait pu permettre à des attaquants distants de prendre le contrôle de comptes d'utilisateurs spécifiques dans des services et applications tiers. La fonctionnalité de connexion Apple de la société, lancée lors de la WWDC 2019, permet aux utilisateurs de se connecter à des applications et sites Web tiers à l'aide de leur identifiant Apple. La fonctionnalité aide également à protéger la vie privée des utilisateurs car ils peuvent utiliser sa fonction "masquer mes e-mails" pour masquer leurs applications et adresses e-mail des sites. Le chercheur indépendant en sécurité Bhavuk Jain a découvert le bogue avec Apple le mois dernier, et la société lui a versé une prime de 100,000 XNUMX € après l'avoir divulgué de manière responsable. Dans un article de blog, Jain a expliqué la gravité de cette vulnérabilité désormais corrigée, en disant : "L'impact de cette vulnérabilité était assez critique car elle aurait pu permettre un contrôle total du compte. De nombreux développeurs ont intégré la connexion à Apple, car elle est requise pour applications qui prennent en charge d'autres connexions sociales. Pour n'en nommer que quelques-unes qui utilisent Connect with Apple : Dropbox, Spotify, Airbnb, Giphy (maintenant acquis par Facebook). Ces applications n'ont pas été testées, mais auraient pu être vulnérables à une prise de contrôle du compte si aucune autre mesure de sécurité n'a été mise en œuvre lors de la vérification d'un utilisateur."