OpenID Foundation diz que sistema de login da Apple tem brecha de segurança

1 min de leitura
Imagem de: OpenID Foundation diz que sistema de login da Apple tem brecha de segurança
Imagem: Apple/Reprodução

A Apple deverá lançar ainda neste ano, provavelmente antes do iOS 13, seu sistema próprio de login que permitirá aos usuários acessarem diversos sites, como Facebook e Twitter, usando sua Apple ID.

Desenvolvido a partir de códigos disponibilizados pela OpenID Foundation, o Sign In with Apple, no entanto, pode apresentar algumas falhas de segurança que colocam os dados dos usuários em risco, de acordo com uma carta aberta da fundação divulgada na última semana e endereçada ao chefe de engenharia de software da Apple, Craig Federighi.

O documento começa indicando que "a OpenID Foundation aplaude os esforços da Apple para permitir que os usuários façam login em aplicativos móveis e da web de terceiros com seu ID Apple usando o OpenID Connect", mas recomenda que o que foi feito até agora seja revisto para garantir mais segurança.

Apple não segue todas as orientações

Segundo a fundação, o Connect é um protocolo de identidade amplamente adotado, baseado no OAuth 2.0 e desenvolvido por um grande número de empresas e especialistas do setor, mas que a Apple não segue todas as orientações feitas pela entidade, especialmente considerando que ele pode se tornar obrigatório para alguns sites.

As principais diferenças consistem na redução de lugares em que o sistema da Apple pode ser usado e no risco de exposição dos usuários com relação a privacidade e segurança. Segundo a fundação, a ausência de recursos como PKCE no tipo de concessão do código de autorização, no caso da Apple, poderia expor os usuários.

Outra observação feita pela fundação é que o código da Apple não é compatível com o software OpenID Connect Relying Party, o que poderia ser corrigido caso a empresa usasse o que a fundação chama de Conjunto de Testes de Certificação Aberta do Open ID Connect. Somente tornando o Sign compatível com o Relying Party é que a Apple poderia integrar a fundação.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.