Im April, Der Sicherheitsforscher Bhavuk Jain entdeckte eine Zero-Day-Sicherheitslücke in Melden Sie sich bei Apple an Dies betraf Anwendungen von Drittanbietern, die die Funktion verwendeten, ohne eigene Sicherheitsmaßnahmen zu implementieren.
Gemäß der Forscher, die Apple Zero-Day "Dies hätte zu einer vollständigen Übernahme von Benutzerkonten in dieser Drittanbieteranwendung führen können, unabhängig davon, ob ein Opfer eine gültige Apple-ID besitzt oder nicht."
Die Sicherheitslücke, das wurde bereits gepatcht, brachte Jain eine Belohnung von $100,000 von Apple im Rahmen ihres Apple Security Bounty-Programms.
Melden Sie sich mit Apple Zero-Day Bug an
Die Melden Sie sich bei Apple an Funktion wurde in eingeführt 2019, und soll eine privatere Alternative zu Website- und App-Anmeldesystemen bieten, die über Facebook- und Google-Konten aktiviert werden. Apple hat die Menge an Benutzerdaten, die für die Authentifizierung und Kontoerstellung benötigt werden, minimiert, Auf diese Weise wurde eine API erstellt, die auch die Anzahl der Facebook- und Google-Tracking-Vorgänge reduzierte. Jedoch, es stellt sich heraus, dass sich die datenschutzorientiert Melden Sie sich bei Apple an enthält einen Zero-Day, entdeckt vom Sicherheitsforscher Bhavuk Jain.
Die Sicherheitsanfälligkeit kann es einem Angreifer ermöglichen, auf das Konto eines Benutzers in einer Drittanbieter-App zuzugreifen und dieses vollständig zu übernehmen. Der Zero-Day hätte genutzt werden können, um die Kontrolle über das Benutzerkonto der App zu ändern. Weiter, Ob der Benutzer eine gültige Apple-ID hatte oder nicht, spielte keine Rolle für die Ausnutzung des Fehlers.
Wie funktioniert Melden Sie sich bei Apple an Arbeit? Die Funktion basiert entweder auf einem JSON-Web-Token (kurz JWT) oder ein von Apples Servern generierter Code. Die Server von Apple kommen ins Spiel, falls kein JWT verfügbar ist. Mit Apple können Benutzer ihre Apple-E-Mail-ID auch für die angegebene Drittanbieter-App freigeben oder ausblenden. Sobald eine erfolgreiche Autorisierung erfolgt ist, Apple generiert eine JWT mit der E-Mail-ID. Letzteres wird von der Drittanbieter-App verwendet, um den Benutzer anzumelden.
Jain fand heraus, dass es möglich war, eine JWT für jede E-Mail-ID anzufordern:
Ich habe festgestellt, dass ich JWTs für jede E-Mail-ID von Apple anfordern kann und dass die Signatur dieser Token mithilfe des öffentlichen Schlüssels von Apple überprüft wurde, sie zeigten sich als gültig. Dies bedeutet, dass ein Angreifer eine JWT fälschen kann, indem er eine beliebige E-Mail-ID mit dieser verknüpft und Zugriff auf das Konto des Opfers erhält.
Die Auswirkung dieses Fehlers war “ziemlich kritisch”, Da es die vollständige Übernahme des Kontos hätte ermöglichen können, die Forscher hinzugefügt. Weiter, Viele Entwickler haben integriert Melden Sie sich bei Apple an, weil es für Anwendungen obligatorisch ist, die andere soziale Anmeldungen unterstützen.
Apps, die Anmelden bei Apple verwenden, enthalten weit verbreitete Namen wie Dropbox, Spotify, Airbnb, Giphy (welches von Facebook erworben wurde). "Diese Anwendungen wurden nicht getestet, könnten jedoch für eine vollständige Kontoübernahme anfällig gewesen sein, wenn bei der Überprüfung eines Benutzers keine anderen Sicherheitsmaßnahmen getroffen worden wären," Sagte Jain in seinem Bericht.
Apple hat seine Protokolle selbst untersucht, um festzustellen, dass durch diese Zero-Day-Sicherheitsanfälligkeit kein Missbrauch oder Kontokompromiss verursacht wurde.