Apple nagrodziło łowcę nagród za błędy $100,000 w celu znalezienia i zgłoszenia krytycznego problemu bezpieczeństwa, który może prowadzić do przejmowanie kont użytkowników osób trzecich.
Badacz Bhavuk Jain odkrył lukę w “Zaloguj się za pomocą Apple” funkcja, funkcja programistyczna, która umożliwia użytkownikom logowanie się do usług przy użyciu identyfikatorów Apple ID.
Funkcja logowania za pomocą Apple została wprowadzona w celu poprawy prywatności i stworzenia procedur logowania do witryn i aplikacji innych firm przy użyciu identyfikatora Apple ID i procesów uwierzytelniania dwuskładnikowego, jednocześnie powstrzymując śledzenie.
Jednakże, Jain znalazł sposób na ominięcie mechanizmów uwierzytelniania i przejęcie kont użytkowników stron trzecich, po prostu znając identyfikator e-mail celu.
Według łowcy nagród za błędy, luka w zabezpieczeniach wynikała ze sposobu, w jaki producent iPada i iPhone'a obsługiwał żądania weryfikacji użytkowników po stronie klienta.
Użytkownicy mogą być uwierzytelniani przez firmę Apple za pomocą tokena sieciowego JSON (JWT) lub kod wygenerowany przez serwer.
Użytkownicy mogą zdecydować, czy chcą udostępniać swój identyfikator e-mail podmiotom trzecim w ramach procesu uwierzytelniania.
Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający te informacje, który jest następnie używany przez usługę zewnętrzną do uwierzytelniania użytkownika.
Jednakże, badacz stwierdził konflikt weryfikacyjny w sposobie, w jaki Apple obsługuje żądania JWT w porównaniu z uwierzytelnianiem zapewnianym, gdy użytkownik loguje się na swoje konto przed uruchomieniem żądań.
Odkrył, że może poprosić o JWT dla dowolnego identyfikatora e-mail od Apple i kiedy podpis tych tokenów został zweryfikowany przy użyciu
Klucz publiczny Apple, okazały się ważne.
Oznacza to, że osoba atakująca może sfałszować token JWT, łącząc z nim dowolny identyfikator e-mail i uzyskując dostęp do konta ofiary.
Luka została już załatana.
