En la pasada WWDC 2019, Apple presentó «Sign in with Apple«, su respuesta al logueo que ofrecen actualmente Google, Twitter o Facebook en miles de páginas web, donde puedes usar cuentas en las que ya estás logueado para acceder a nuevos servicios. Para ello, se puede usar la cuenta de Google o incluso Face ID y Touch ID, con la opción de tener emails aleatorios e individuales para cada app o web para no tener que dar nuestro email real. Sin embargo, OpenID ha alertado de que este sistema no es seguro.
Sign in with Apple no es seguro en la actualidad
La clave de este problema de seguridad está en su implementación, la cual ha sido criticada por la OpenID Foundation (OIDF), una fundación sin ánimo de lucro cuyos miembros incluyen a grandes como Google, Microsoft, PayPal y otras grandes empresas.
La carta abre alabando que Apple utiliza el estándar OpenID Connect, cuyo uso está muy extendido en la industria para autenticar a los usuarios a través de distintas webs y apps sin tener que utilizar contraseñas diferentes. Sin embargo, hay algunas diferencias en la forma en la que está implementado OpenID Connect y Sign in with Apple, lo cual podría poner en riesgo a los usuarios.
Estas diferencias limitan el número de sitios donde los usuarios pueden utilizar Sign in with Apple, y los expone a un mayor riesgo de seguridad y privacidad. Además, añade una carga adicional a los desarrolladores de ambas funciones, y si Apple decidiera eliminar las diferencias, el sistema contaría con interoperabilidad con el software de OpenID. Por ello, también les invitan a utilizar la suite de certificación de la compañía para garantizar esta compatibilidad, además de que se unan a la OpenID Foundation.
Apple obliga a los desarrolladores a poner el Sign in with Apple delante del de otros servicios
Para ello, desde la fundación se pide a Apple que elimine estas diferencias, las cuales han detallado en un documento, entre las que se revelan que la forma en la que se gestionan los tokens puede exponer a los usuarios a multitud de ataques conocidos.
Sign in with Apple estará disponible para los usuarios de iOS, iPadOS, macOS y web. Apple obliga en sus normas de utilización a que los desarrolladores que actualmente ofrezcan acceso con cuentas de Facebook o Google estarán obligados a ofrecer el acceso al servicio con cuenta de Apple. Sin embargo, también ha levantado bastantes críticas el hecho de que obliguen a los desarrolladores a poner la opción de acceso con la cuenta de Apple antes que la de sus competidores, tal y como se revela en las guías de diseño de la función que lanzó Apple en junio.