Эксперт Бхавук Джайн обнаружил уязвимость в функции «Вход с Apple», которая позволяет безопасно войти в сторонние программы и веб-сайты с помощью уже имеющегося идентификатора Apple ID.
По словам Джайна, если стороннее приложение не имеет собственных мер безопасности, злоумышленник мог подделать токен, связанный с любым идентификатором электронной почты, и выдать его как действительный, используя открытый ключ Apple.
Ошибка могла привести к полному доступу к аккаунту со стороны злоумышленника, даже если пользователь скрывал свою электронную почту от других служб. Бхавук Джайн получил за свою находку награду в размере 100 000 долларов.
Уязвимость была найдена ещё в апреле 2020 года — на данный момент компания Apple её устранила. В Apple заявили, что нет никаких доказательств того, что какие-то учётные записи пострадали в результате уязвимости.