Apple heeft een premiejager voor insecten toegekend $100,000 voor het vinden en melden van een kritiek beveiligingsprobleem dat zou kunnen leiden tot het overname van gebruikersaccounts van derden.
Onderzoeker Bhavuk Jain discovered the vulnerability in the “Log in met Apple” voorzien zijn van, een ontwikkelaarsfunctie waarmee gebruikers zich kunnen aanmelden bij services met Apple ID's.
Inloggen met Apple is geïntroduceerd om de privacy te verbeteren en inlogprocedures te creëren voor websites en apps van derden met behulp van Apple's ID- en tweefactorauthenticatieprocessen, terwijl het ook op afstand blijft volgen.
Echter, Jain vond een manier om authenticatiemechanismen te omzeilen en gebruikersaccounts van derden over te nemen, gewoon door de e-mail-ID van een doelwit te kennen.
Volgens de premiejager, het beveiligingslek was te wijten aan de manier waarop de iPad- en iPhone-maker om validatieverzoeken aan de clientzijde omgingen.
Gebruikers kunnen door Apple worden geverifieerd via een JSON Web Token (JWT) of een code gegenereerd door een server.
Gebruikers kunnen kiezen of ze hun e-mail-ID al dan niet delen met een derde partij als onderdeel van het authenticatieproces.
Als de e-mail-ID verborgen is, Apple genereert een JWT-token met deze informatie die vervolgens door de externe service wordt gebruikt om een gebruiker te authenticeren.
Echter, de onderzoeker vond een validatieconflict in de manier waarop Apple JWT-verzoeken behandelt in vergelijking met de authenticatie die wordt geboden wanneer een gebruiker inlogt op zijn account voordat hij met verzoeken begint.
Hij ontdekte dat hij JWT's kon aanvragen voor elke e-mail-ID van Apple en wanneer de handtekening van deze tokens werd geverifieerd met
De openbare sleutel van Apple, ze lieten zien als geldig.
Dit betekent dat een aanvaller een JWT kan vervalsen door een e-mail-ID eraan te koppelen en toegang te krijgen tot het account van het slachtoffer.
De kwetsbaarheid is nu gepatcht.
