Login serius dengan AppleBug ini dapat memungkinkan peretas mengambil alih akun Anda
Kapan Apple penyingkapan masuk dengan Apple Tahun lalu, fitur single sign-on yang baru disebut-sebut sebagai cara yang bagus bagi pengguna yang sadar akan keamanan untuk memanfaatkan jenis fitur sign-in terpadu dan sederhana yang telah lama ditawarkan oleh raksasa teknologi lainnya. , Facebook dan Google tanpa harus mengungkapkan informasi pribadi dalam jumlah yang tidak perlu.
Sementara Google bersikeras bahwa itu tidak mengumpulkan informasi pribadi sebagai bagian dari fitur masuk, itu pasti lebih buram tentang prosesnya, dan jika tidak, ada sedikit keraguan bahwa Facebook memiliki rekam jejak yang jauh lebih buruk dalam hal ini, jadi masuk dengan Apple datang seperti menghirup udara segar – solusi di sana Apple pastikan Anda bahkan tidak perlu memasukkan alamat email saat mendaftar ke layanan pihak ketiga.
Tapi sementara masuk terpadu AppleDen tentu baik untuk privasi, mungkin tidak begitu baik untuk keamanan, seperti yang ditemukan oleh seorang peneliti baru.
“Transfer Penuh”
Peneliti keamanan Bhavuk Jain baru-baru ini menemukan kerentanan zero-day di masuk dengan Apple fitur yang memungkinkan peretas mengakses semua situs web pihak ketiga yang ditautkan oleh pengguna Apple ID, asalkan situs juga tidak memiliki langkah-langkah keamanan tambahan.
Mirip dengan layanan login terpadu lainnya, masuk dengan Apple bekerja dengan menghasilkan “token” berdasarkan pengguna Apple SAYA. Token ini “ditandatangani” oleh AppleServers untuk memvalidasi keabsahannya dan dikirim ke layanan pihak ketiga untuk mengautentikasi pengguna sebagai milik tertentu Apple SAYA. Layanan memeriksa simbol, tanda tangan, dan muatan, lalu membuat akun baru untuk pengguna, atau memasukkannya ke akun yang ada jika mereka pernah menggunakan layanan sebelumnya.
Namun, seperti yang dijelaskan Jain di blognya, dimungkinkan untuk bertanya dengan pemrograman Apple:S server untuk menghasilkan “token” untuk alamat email apa pun, bukan hanya yang diminta. Dengan menggunakan alamat email yang cocok dengan alamat Apple ID milik orang lain, penyerang dapat membuat ikon untuk hampir semua orang dan kemudian membuatnya tersedia untuk layanan pihak ketiga menggunakan masuk dengan Apple untuk mengautentikasi pengguna tersebut – masuk ke akun mereka yang ada atau buat akun baru.
Lubang keamanan ada di sana sementara Apple:’ Server hanya akan menghasilkan token yang valid untuk pengguna yang masuk, melewatkan langkah kedua untuk memastikan bahwa permintaan token benar-benar cocok dengan alamat email pengguna yang saat ini diautentikasi. Jadi Anda bisa masuk ke Apple ID untuk “John Doe” dan minta ikon untuk “Fred Smith” dan Apple ingin memberi Anda logo resmi yang ditandatangani. Masukkan ikon ini ke layanan seperti Dropbox dan dengan senang hati Anda akan masuk ke akun Fred.
Risiko
Untuk lebih jelasnya, ini harus menjadi serangan yang sedikit ditargetkan, karena penyerang harus secara khusus mengetahui alamat email Anda, tetapi penting untuk dicatat bahwa bahkan pengguna yang telah memilih untuk menggunakan masuk dengan Apple alamat email “pribadi” yang tersembunyi masih rentan karena merupakan alamat email sebenarnya dari pengguna yang digunakan untuk meminta token – alamat email pribadi persis yang dikirim ke pihak ketiga penyedia saat pengguna mendaftarkan akun baru.
Hanya layanan yang hanya mengandalkannya masuk dengan Apple otentikasi rentan, jadi jika layanan bergantung pada otentikasi faktor kedua, penyerang akan diblokir pada saat itu. Jika pengguna sudah memiliki akun di suatu layanan tetapi belum menautkannya ke akun mereka Apple ID, kerentanan tidak dapat dieksploitasi karena sebagian besar layanan pihak ketiga mengharuskan pengguna memasukkan kata sandi untuk akun mereka yang ada sebelum mereka dapat mengaitkannya dengan Apple SAYA.
Penting juga untuk dicatat bahwa ini hanya memengaruhi layanan pihak ketiga di sana masuk dengan Apple telah digunakan. Itu tidak dapat digunakan untuk akses pengguna Apple ID atau data iCloud, hanya untuk spoofing Apple Referensi ID untuk layanan pihak ketiga.
memperbaiki
Namun, semua ini telah dikatakan, tetapi Jain sebenarnya melaporkan bug Apple kembali pada bulan April sebagai bagian dari program bountynya sebelum menerbitkan informasi dan memberi Apple saatnya untuk mengatasi apa yang saat ini dilakukannya, kata Jain dalam sebuah wawancara dengan The Hacker News.
Jain menerima pembayaran $100,000 Apple untuk penemuannya, memungkinkan perusahaan untuk menemukan dan memperbaiki masalah sebelum dapat menyebabkan kerugian; berdasarkan Apple Pemeriksaan log servernya mengkonfirmasi bahwa kekurangan tersebut tidak dieksploitasi untuk benar-benar membahayakan akun apa pun.
