Denna seriösa inloggning med AppleBug kan tillåta hackare att ta över ditt konto

När kommer Apple att avslöja? Logga in med Apple Förra året utsågs den nya funktionen för enkel inloggning som ett utmärkt sätt för säkerhetsmedvetna användare att dra fördel av den typ av enhetlig och enkel inloggningsfunktion som länge erbjudits av andra teknikjättar. , Facebook och Google utan att behöva avslöja onödiga mängder personlig information.

Även om Google insisterar på att de inte samlar in personlig information som en del av inloggningsfunktionen, har det verkligen varit mer ogenomskinligt om processen, och å andra sidan råder det ingen tvekan om att Facebook har en meritlista. mycket sämre spårning i detta hänsyn, alltså Logga in med Apple kommer som en frisk fläkt – en lösning där Apple ser till att du inte ens behöver ange din e-postadress när du registrerar dig för en tredjepartstjänst.

Men även om AppleDens enhetliga inloggning verkligen är bra för integriteten, är det kanske inte så bra för säkerheten, som en ny forskare har upptäckt.

“Fullständig överföring”

Säkerhetsforskaren Bhavuk Jain upptäckte nyligen en nolldagarssårbarhet i Logga in med Apple en funktion som tillåter hackare att komma åt alla tredjepartswebbplatser som användare länkar till sina Apple-ID:n, förutsatt att webbplatsen inte heller har ytterligare säkerhetsåtgärder.

I likhet med andra enhetliga inloggningstjänster, Logga in med Apple fungerar genom att generera “tokens” baserat på Apple-användaren ME. Denna token är “signerad” av AppleServers för att validera dess legitimitet och skickas till en tredjepartstjänst för att autentisera användaren som tillhörande specifikt Apple ME. Tjänsten kontrollerar symboler, signaturer och nyttolaster och skapar sedan nya konton för användare, eller loggar in dem på befintliga konton om de har använt tjänsten tidigare.

Men som Jain förklarar på sin blogg, är det möjligt att programmässigt be Apple:S-servern att generera en “token” för vilken e-postadress som helst, inte bara för begäran. Genom att använda en e-postadress som matchar ett Apple-ID som tillhör någon annan kan en angripare skapa en ikon för nästan vem som helst och sedan göra den tillgänglig för en tredjepartstjänst med Logga in med Apple för att autentisera den användaren – antingen logga in på sitt befintliga konto eller skapa ett nytt.

Säkerhetshålet fanns där medan Apple: ‘S server kommer bara att generera giltiga tokens för inloggade användare, och saknar ett andra steg för att säkerställa att tokenbegäran faktiskt matchar e-postadressen för den för närvarande autentiserade användaren. Så du kan logga in på ett Apple-ID för “John Doe” och begära en ikon för “Fred Smith” och Apple skulle gärna ge dig en signerad, laglig logotyp. Ange den här ikonen i en tjänst som Dropbox så släpper den dig gärna in på Freds konto.

Risker

För att vara tydlig bör detta vara en något riktad attack, eftersom angriparen måste känna till din e-postadress specifikt, men det är viktigt att notera att även användare som har valt att använda Logga in med Apple en dold “privat” e-postadress är fortfarande sårbar eftersom det är den faktiska e-postadressen till användaren som används för att begära token – en privat e-postadress är exakt den som skickas till leverantörens tredje part när användaren registrerar ett nytt konto.

Endast tjänster som enbart förlitar sig på det Logga in med Apple autentisering är sårbar, så om tjänsten förlitar sig på andrafaktorsautentisering kommer angriparen att blockeras vid den tidpunkten. Om en användare redan har ett konto på en tjänst men inte har kopplat det till sitt Apple ID-konto kan sårbarheten inte utnyttjas eftersom de flesta tredjepartstjänster kräver att användaren anger ett lösenord för kontot. sitt nuvarande konto innan de kan länka den till Apple ME.

Det är också viktigt att notera att detta endast påverkar tredjepartstjänster där Logga in med Apple har använts. Den kan inte användas för att komma åt Apples användares ID-data eller iCloud, bara för att förfalska Apple ID-referenser för tredjepartstjänster.

reparera

Allt detta är dock sagt, men Jain rapporterade faktiskt felet till Apple redan i april som en del av sitt bounty-program innan han publicerade informationen och gav Apple att det är dags att lösa problemet. lös problemet det gör nu, sa Jain i en intervju med The Hacker News.

Jain fick 100 000 USD i Apple-betalningar för sin upptäckt, vilket gjorde att företaget kunde hitta och åtgärda problemet innan det kunde orsaka skada; enligt Apple En undersökning av dess serverloggar bekräftade att underskottet inte utnyttjades för att faktiskt äventyra några konton.