Une vulnérabilité dans le logiciel Parse Server a conduit à la découverte d’un contournement d’authentification impactant Apple Game Center.

Parse Server est un projet open source disponible sur GitHub qui procure notification push fonctionnalité pour iOS, macOS, Android et tvOS.

Le logiciel est un système backend compatible avec toute infrastructure capable d’exécuter Node.js, le framework d’applications Web Express, et peut être utilisé indépendamment ou avec des applications Web existantes.

Selon un conseil en sécurité publié le 17 juin, un bogue dans les versions de Parse Server antérieures à 4.10.11/5.0.0/5.2.2 provoquait un problème de validation dans Apple Game Center.

Apple appelle le Centre de jeu son « réseau de jeu social ». La plate-forme comprend des classements et un jeu multijoueur en temps réel.

Contournement de l’authentification

Suivi comme CVE-2022-31083 et a émis un score de gravité CVSS de 8,6, le problème de sécurité est décrit comme un scénario dans lequel l’adaptateur d’authentification pour la sécurité d’Apple Game Center certificat n’est pas validé.

« En conséquence, l’authentification pourrait potentiellement être contournée en rendant un faux certificat accessible via certains domaines Apple et en fournissant l’URL de ce certificat dans un objet authData », indique l’avis.

La complexité des attaques est considérée comme faible et aucun privilège n’est requis.

UN réparer a été publié dans Parse Server 4.10.11/5.2.2. Une nouvelle propriété rootCertificateUrl a été implémentée dans l’adaptateur d’authentification Apple Game Center du logiciel, qui « prend l’URL du certificat racine du certificat d’authentification Game Center d’Apple ».

Si les développeurs n’ont pas défini de valeur dans le système d’authentification, la nouvelle propriété prend par défaut l’URL du certificat racine utilisé par Apple.

Il n’y a pas de solution de contournement disponible. En outre, l’avis note qu’il incombe également au développeur de l’écosystème Apple de maintenir à jour le certificat racine lors de l’utilisation de l’adaptateur d’authentification Parse Server Apple Game Center.

Game Center recevra un tableau de bord révisé avec les activités de vos amis dans iOS16dont la sortie est prévue plus tard cette année.

« Une validation incorrecte pourrait permettre aux attaquants de contourner l’authentification, rendant le serveur vulnérable à de simples attaques à distance », a déclaré Jake Moore, conseiller mondial en cybersécurité chez ESET, au Daily Swig.

« Ce n’est pas souvent qu’Apple rate la cible d’une fonctionnalité de sécurité, mais sans l’exigence d’authentification, il s’agit d’une attaque potentiellement dangereuse et même facile. La meilleure façon d’éviter cette menace serait de patcher rapidement les appareils avec la dernière mise à jour.

a contacté Apple et nous mettrons à jour si nous recevons une réponse.