Исследователь безопасности Бхавук Джейн обнаружил уязвимость в процессе авторизации в веб-сервисах с использованием аккаунта Apple (процедура, аналогичная «Войти через Facebook» или «Войти через Google»).
Для того, чтобы провести авторизацию, сервер Apple генерирует специальный код JWT — JSON Web Token. Получив запрос на авторизацию, Apple предлагает пользователю выбор — поделиться Email ID с сервисом, в который он пытается войти, или нет. Если пользователь решает не предоставлять Email ID, система сама генерирует уникальный для каждого пользователя Email ID и создает содержащий его JWT, который используется для входа в нужный сервис.
Уязвимость позволяет злоумышленникам подделывать JWT с использованием любого Email ID, чтобы получать доступ к аккаунтам жертв. Также исследователь предупреждает, что если компании Dropbox, Spotify и Airbnb не примут меры, то их клиенты могут пострадать от этого же бага. За найденную уязвимость компания Apple выплатит исследователю 100 000 долларов. Компания провела проверку и не обнаружила, чтобы данная уязвимость хоть раз использовалась злоумышленниками. Таким образом, она была обнаружена вовремя.