נחשפו פרטים על פגיעות שתוקנה כעת באימות החשבון "כניסה עם אפל", יום אפס שיכול היה לאפשר לתוקף להשתלט על חשבון משתמש.
הושק בשנת 2019, "היכנס באמצעות אפל" נועד להוות אלטרנטיבה ממוקדת פרטיות יותר למערכות כניסה לאתרים ולאפליקציות המופעלות על ידי חשבונות פייסבוק וגוגל. על ידי צמצום כמות הנתונים של המשתמש המשמשים לאימות ויצירת חשבון, ה-API גם עזר להפחית את הכמות של מעקב אחר פייסבוק וגוגל שבוצעו על משתמשים, בתורו הופך אותו לפרטי יותר.
נחשףביום שבת על ידי מפתח ממוקד אבטחה Bhavuk Jain, פגיעות של יום אפס בכניסה עם אפל הייתה בעלת פוטנציאל לאפשר לתוקף לקבל גישה, ולהשתלט באופן מלא, על חשבון משתמש באפליקציה של צד שלישי. לפי Jain, הבאג היה מאפשר שינוי בשליטה בחשבון המשתמש של האפליקציה, ללא קשר אם למשתמש היה מזהה אפל חוקי או לא.
הדרך שבה נכנסים עם Apple מתפקדים היא שהיא מסתמכת על JSON Web Token (JWT) או על קוד שנוצר על ידי השרתים של Apple, כאשר האחרון משמש ליצירת JWT אם הוא לא קיים. בזמן ההרשאה, אפל מספקת למשתמשים אפשרויות לשתף או להסתיר את מזהה הדוא"ל של אפל עם אפליקציית הצד השלישי, עם מזהה דוא"ל ממסר של Apple ספציפי למשתמש שנוצר עבור הבחירה האחרונה.
לאחר אישור מוצלח, אפל מייצרת JWT, המכיל את מזהה הדוא"ל, ומשמשת את יישום הצד השלישי לכניסה למשתמש.
ג'יין גילה באפריל שאפשר לבקש JWT עבור כל מזהה אימייל, וכאשר חתימת האסימון מאומתת באמצעות המפתח הציבורי של אפל, הם נחשבים תקפים. למעשה, תוקף יכול ליצור JWT באמצעות תהליך זה, ולקבל גישה לחשבון של הקורבן.
מכיוון שאפל מחייבת את הכללת כניסה עם אפל באפליקציות עם מערכות התחברות אחרות מבוססות חברתיות, למתקפה הייתה בסיס רחב מאוד של אפליקציות שהיא הייתה יעילה נגדן תיאורטית. חקירה של צוות האבטחה של אפל קבעה שהפגיעות לא שימשה בהתקפות כלשהן.
ג'יין חשף באחריות את הפגם בפני אפל, מה שהוביל לפרס של אפלתוכנית הבאונטי באגבשווי 100,000 דולר. אפל תיקנה מאז את הפגיעות, אך עדיין לא ברור בדיוק כיצד.
