4月中, セキュリティ研究者のBhavukJainは、 Appleでサインイン 独自のセキュリティ対策を実装せずに機能を使用してサードパーティのアプリケーションに影響を与えた.
研究者によると, the アップルのゼロデイ 「「被害者が有効なAppleIDを持っているかどうかに関係なく、そのサードパーティアプリケーションのユーザーアカウントの完全なアカウント乗っ取りにつながる可能性があります.」
脆弱性, すでにパッチが適用されています, ジャイナ教の報酬をもたらしました $100,000 AppleSecurityBountyプログラムの下でのAppleによる.
AppleZero-DayBugでサインイン
The Appleでサインイン 機能はで導入されました 2019, FacebookやGoogleアカウントによって可能になるウェブサイトやアプリのログインシステムに代わる、よりプライベートな代替手段を提供することを目的としています. Appleは、認証とアカウント作成に必要なユーザーデータの量を最小限に抑えました, したがって、FacebookとGoogleの追跡量も削減するAPIを作成します. でも, プライバシーに重点を置いていることが判明しました Appleでサインイン ゼロデイが含まれています, セキュリティ研究者のBhavukJainによって発見されました.
この脆弱性により、攻撃者はサードパーティのアプリにアクセスしてユーザーのアカウントを完全に乗っ取る可能性があります。. ゼロデイは、アプリのユーザーアカウントの制御を変更するために悪用された可能性があります. さらに, ユーザーが有効なAppleIDを持っているかどうかは、バグが悪用されることは問題ではありませんでした.
どうやって Appleでサインイン 仕事? この機能は、JSONWebトークンのいずれかに依存しています (まもなくJWT) またはAppleのサーバーによって生成されたコード. JWTが利用できない場合に備えて、Appleのサーバーが機能します. Appleはまた、ユーザーが自分のAppleEmailIDを特定のサードパーティアプリと共有または非表示にすることを可能にします. 承認が成功すると, AppleはEメールIDを含むJWTを生成します. 後者は、サードパーティのアプリがユーザーをログインさせるために利用します.
Jainは、任意の電子メールIDに対してJWTを要求できることを発見しました:
Appleに任意のEメールIDをJWTに要求でき、これらのトークンの署名がAppleの公開鍵を使用して検証されたときに, 彼らは有効として示した. これは、攻撃者が任意の電子メールIDをJWTにリンクし、被害者のアカウントにアクセスすることでJWTを偽造する可能性があることを意味します.
このバグの影響は「非常に重要」完全なアカウントの乗っ取りを可能にした可能性があるため, 研究者は付け加えた. さらに, 多くの開発者が統合しました Appleでサインイン, 他のソーシャルログインをサポートするアプリケーションには必須であるため.
サインインwithAppleを使用するアプリには、Dropboxなどの広く採用されている名前が含まれます, Spotify, Airbnb, Giphy (Facebookが買収した). 「「これらのアプリケーションはテストされていませんが、ユーザーの確認中に他のセキュリティ対策が講じられていなかった場合、完全なアカウントの乗っ取りに対して脆弱であった可能性があります,」 ジェインは言った 彼のレポートで.
Appleは独自のログ調査を実施して、このゼロデイ脆弱性によって引き起こされた誤用やアカウントの侵害がないことを確認しました。.