In april, beveiligingsonderzoeker Bhavuk Jain ontdekte een zero-day kwetsbaarheid in Log in bij Apple die van invloed waren op applicaties van derden die de functie gebruikten zonder hun eigen beveiligingsmaatregelen te implementeren.
Volgens de onderzoeker, de Apple zero-day "had kunnen leiden tot een volledige overname van gebruikersaccounts op die applicatie van derden, ongeacht of een slachtoffer een geldige Apple ID had of niet."
De kwetsbaarheid, die al is gepatcht, bracht Jain een beloning van $100,000 door Apple onder hun Apple Security Bounty-programma.
Log in met Apple Zero-Day Bug
Het Log in bij Apple functie werd geïntroduceerd in 2019, en is bedoeld om een meer privé-alternatief te bieden voor website- en app-inlogsystemen die mogelijk zijn gemaakt door Facebook- en Google-accounts. Apple heeft de hoeveelheid gebruikersgegevens die nodig zijn voor authenticatie en het aanmaken van accounts geminimaliseerd, waardoor een API werd gemaakt die ook het aantal Facebook- en Google-tracking verminderde. Echter, het blijkt dat de privacy gericht is Log in bij Apple bevat een nul-dag, ontdekt door veiligheidsonderzoeker Bhavuk Jain.
Door het beveiligingslek kan een aanvaller toegang krijgen tot en het account van een gebruiker volledig overnemen op een app van derden. De zero-day had kunnen worden benut om de controle over het gebruikersaccount van de app te wijzigen. Bovendien, of de gebruiker een geldige Apple ID had of niet, het maakte niet uit of de bug kon worden uitgebuit.
hoe werkt Log in bij Apple werk? De functie is afhankelijk van een JSON-webtoken (binnenkort JWT) of een code die is gegenereerd door de servers van Apple. De servers van Apple spelen een rol als er geen JWT beschikbaar is. Apple stelt gebruikers ook in staat om hun Apple Email ID te delen of te verbergen met de gegeven app van derden. Zodra een succesvolle autorisatie heeft plaatsgevonden, Apple genereert een JWT met de e-mail-ID. Dit laatste wordt gebruikt door de app van derden om de gebruiker in te loggen.
Jain ontdekte dat het mogelijk was om een JWT aan te vragen voor elke e-mail-ID:
Ik merkte dat ik JWT's voor elke e-mail-ID van Apple kon opvragen en dat de handtekening van deze tokens werd geverifieerd met de openbare sleutel van Apple, ze bleken geldig. Dit betekent dat een aanvaller een JWT kan vervalsen door er een e-mail-ID aan te koppelen en toegang te krijgen tot het account van het slachtoffer.
De impact van deze bug was "nogal kritisch'Omdat het de volledige overname van een account mogelijk had gemaakt, de onderzoeker toegevoegde. Bovendien, veel ontwikkelaars hebben geïntegreerd Log in bij Apple, omdat het verplicht is voor applicaties die andere sociale logins ondersteunen.
Apps die inloggen bij Apple gebruiken, bevatten veelgebruikte namen zoals Dropbox, Spotify, Airbnb, Giphy (die is overgenomen door Facebook). "Deze applicaties zijn niet getest, maar kunnen kwetsbaar zijn geweest voor een volledige overname van een account als er geen andere beveiligingsmaatregelen waren genomen tijdens het verifiëren van een gebruiker," Zei Jain in zijn rapport.
Apple heeft hun eigen logboeken onderzocht om vast te stellen dat er geen misbruik of accountcompromis was veroorzaakt door deze zero-day kwetsbaarheid.