Критическая ошибка Apple

Apple исправила критическую ошибку в функции входа в систему Apple, которая могла быть использована злоумышленниками для захвата сторонних приложений.

Недавно исследователь обнаружил критическую уязвимость Apple, которая, в случае ее использования, может позволить злоумышленникам удаленно использовать функцию «Вход в Apple» для захвата сторонних учетных записей приложений.

Исследователь безопасности, Bhavuk Jain, сообщил об ошибке Apple через свою программу вознаграждения за ошибки и получил 100 000 долларов за эту находку.

Недостатки входа

Недостаток связан с функцией «Войти через Apple», которая была представлена ​​Apple на Всемирной конференции разработчиков в прошлом году. Войдите в Apple, чтобы пользователи Apple могли легко и безопасно входить в сторонние приложения и веб-сайты. Это было сделано путем внедрения системы аутентификации, поддерживаемой Apple, для замены социальных учетных записей сторонних сервисов.

«В апреле месяце я обнаружил, что вход в систему Apple с нулевым днем ​​влиял на сторонние приложения, которые ее использовали, и не реализовывал свои собственные дополнительные меры безопасности», — сказал Джейн в своем сообщении об ошибке на Воскресенье. «Эта ошибка могла привести к полному захвату учетных записей пользователей в сторонних приложениях, независимо от того, был ли у жертвы действительный Apple ID или нет».

 

Apple исправила ошибку. 


Одним из важных моментов в Sign in with Apple является то, что пользователи могут зарегистрироваться в сторонних службах, не раскрывая свои адреса электронной почты Apple ID этим службам. Это работало, потому что вход с Apple сначала проверял пользователей на стороне клиента, а затем инициировал запрос JSON Web Token (JWT) от служб проверки подлинности Apple. Затем этот JWT будет использоваться сторонним приложением для подтверждения личности пользователя.

Проблема заключалась в том, что после того, как Apple проверила пользователя на стороне клиента по адресу электронной почты Apple ID, она не подтвердила, что запрос JWT был от этой действительной учетной записи пользователя. Злоумышленник мог воспользоваться этим недостатком, предоставив электронное письмо с идентификатором Apple, принадлежащее жертве, и обманом заставить серверы Apple создать действительную полезную нагрузку JWT. Как только злоумышленник сделает это, он сможет войти в стороннее приложение, используя идентификационные данные жертвы.

apple critical flaw

Credit: Bhavuk Jain

«Я обнаружил, что могу запросить JWT для любого идентификатора электронной почты у Apple, и когда подпись этих токенов была проверена с использованием открытого ключа Apple, они показались действительными», — сказал Бхавук Джейн. «Это означает, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учетной записи жертвы».

Согласно The Hacker News, этот недостаток можно использовать, даже если пользователи решили скрыть свои идентификаторы электронной почты от сторонних сервисов. Он также может быть использован для регистрации новых учетных записей с идентификаторами Apple ID жертв.

Есть два обруча, которые злоумышленники должны были бы перепрыгнуть, чтобы заставить этот эксплойт работать. Во-первых, им потребуется идентификатор электронной почты для пользователя Apple, хотя это может быть идентификатор электронной почты любого пользователя Apple. Во-вторых, им нужно будет войти в стороннее приложение через «Войти через Apple», которое не требует каких-либо дополнительных мер безопасности.

Опасность Dropbox, Spotify, Airbnb и Giphy.

Джейн сказал, что влияние этой уязвимости является «весьма критическим», так как оно может позволить полное поглощение аккаунта. Многие разработчики интегрировали вход с Apple в свои сервисы, включая Dropbox, Spotify, Airbnb и Giphy.

«Эти приложения не были протестированы, но могли быть уязвимы для полного захвата учетной записи, если бы при проверке пользователя не было никаких других мер безопасности», — сказал Джейн.

Джейн дополнил, что Apple провела расследование журналов логов и определила, что из-за этой уязвимости не было злоупотреблений или взлома учетных записей. 

В декабре 2019 года Apple открыла для публики свою исторически закрытую программу по выплате багов, увеличив максимальную выплату до 1 миллиона долларов в попытке отсеять серьезные уязвимости. 

Другой недостаток Apple, недавно обнаруженный в апреле, заработал охотнику за ошибками $ 75 000 за поиск уязвимостей Safari, которые можно было бы использовать для отслеживания на iPhone, iPad и компьютерах Mac с использованием их микрофонов и камер.

Источник: threatpost.com

Перевод: Анна М.

Понравилась статья? У нас таких есть еще — www.cryptocity.tech