Khi nào Apple tiết lộ đăng nhập với Apple Năm ngoái, tính năng đăng nhập một lần mới được quảng cáo là một cách tuyệt vời để người dùng có ý thức bảo mật tận dụng loại tính năng đăng nhập đơn giản và thống nhất đã được các đại gia công nghệ khác cung cấp từ lâu, Facebook và Google mà không phải tiết lộ lượng thông tin cá nhân không cần thiết.
Mặc dù Google khẳng định rằng họ không thu thập thông tin cá nhân như là một phần của tính năng đăng nhập, nhưng chắc chắn nó đã mờ hơn về quy trình và mặt khác, có rất ít nghi ngờ rằng Facebook có một hồ sơ theo dõi tồi tệ hơn nhiều về vấn đề này, vì vậy đăng nhập với Apple đến như một luồng không khí trong lành – một giải pháp ở đó Apple đảm bảo rằng bạn thậm chí sẽ không phải nhập địa chỉ email của mình khi đăng ký dịch vụ của bên thứ ba.
Nhưng trong khi tính năng đăng nhập hợp nhất của AppleDen chắc chắn là tốt cho quyền riêng tư, thì nó có thể không tốt cho bảo mật, như một nhà nghiên cứu mới vừa phát hiện.
“Chuyển khoản đầy đủ”
Nhà nghiên cứu bảo mật Bhavuk Jain gần đây đã phát hiện ra lỗ hổng zero-day trong đăng nhập với Apple tính năng cho phép tin tặc truy cập tất cả các trang web của bên thứ ba mà người dùng liên kết đến Apple ID, với điều kiện trang web cũng không có các biện pháp bảo mật bổ sung.
Tương tự như các dịch vụ đăng nhập hợp nhất khác, đăng nhập với Apple hoạt động bằng cách tạo “mã thông báo” dựa trên người dùng Apple TÔI. Mã thông báo này được “ký” bởi AppleServers để xác thực tính hợp pháp của nó và được gửi đến dịch vụ bên thứ ba để xác thực người dùng là thuộc về cụ thể Apple TÔI. Dịch vụ kiểm tra ký hiệu, chữ ký và tải trọng và sau đó tạo tài khoản mới cho người dùng hoặc đăng nhập chúng vào tài khoản hiện có nếu họ đã sử dụng dịch vụ trước đó.
Tuy nhiên, như Jain giải thích trên blog của mình, có thể hỏi bằng lập trình Apple: S máy chủ để tạo “mã thông báo” cho bất kỳ địa chỉ email nào, không chỉ địa chỉ yêu cầu. Bằng cách sử dụng một địa chỉ email khớp với một địa chỉ Apple ID thuộc về người khác, kẻ tấn công có thể tạo biểu tượng cho hầu hết mọi người và sau đó cung cấp cho dịch vụ bên thứ ba bằng cách sử dụng đăng nhập với Apple để xác thực người dùng đó – hoặc đăng nhập vào tài khoản hiện tại của họ hoặc tạo tài khoản mới.
Lỗ hổng bảo mật đã ở đó trong khi Apple: ‘S máy chủ sẽ chỉ tạo mã thông báo hợp lệ cho người dùng đã đăng nhập, thiếu bước thứ hai để đảm bảo rằng yêu cầu mã thông báo thực sự khớp với địa chỉ email của người dùng hiện được xác thực. Vì vậy, bạn có thể đăng nhập vào một Apple ID cho “John Doe” và yêu cầu một biểu tượng cho “Fred Smith” và Apple rất thích cho bạn một biểu tượng hợp pháp, có chữ ký. Nhập biểu tượng này vào một dịch vụ như Dropbox và nó sẽ sẵn lòng cho bạn vào tài khoản của Fred.
Những rủi ro
Để rõ ràng, đây phải là một cuộc tấn công được nhắm mục tiêu một chút, bởi vì kẻ tấn công phải biết cụ thể địa chỉ email của bạn, nhưng điều quan trọng cần lưu ý là ngay cả những người dùng đã chọn sử dụng đăng nhập với Apple địa chỉ email “riêng tư” bị ẩn vẫn dễ bị tổn thương vì đó là địa chỉ email thực tế của người dùng được sử dụng để yêu cầu mã thông báo – địa chỉ email riêng chính xác là địa chỉ được gửi cho nhà cung cấp bên thứ ba khi người dùng đăng ký tài khoản mới.
Chỉ các dịch vụ chỉ dựa vào nó đăng nhập với Apple xác thực là dễ bị tổn thương, vì vậy nếu dịch vụ dựa vào yếu tố xác thực thứ hai, kẻ tấn công sẽ bị chặn tại thời điểm đó. Nếu người dùng đã có tài khoản trên một dịch vụ nhưng chưa liên kết nó với tài khoản của họ Apple ID, lỗ hổng không thể bị khai thác vì hầu hết các dịch vụ của bên thứ ba yêu cầu người dùng nhập mật khẩu cho tài khoản hiện tại của họ trước khi họ có thể liên kết nó với Apple TÔI.
Cũng cần lưu ý rằng điều này chỉ ảnh hưởng đến các dịch vụ của bên thứ ba ở đó đăng nhập với Apple đã được dùng. Nó không thể được sử dụng để truy cập người dùng Apple Dữ liệu ID hoặc iCloud, chỉ để giả mạo Apple Tài liệu tham khảo ID cho dịch vụ của bên thứ ba.
sửa chữa
Tuy nhiên, tất cả điều này đã được nói, nhưng Jain thực sự đã báo cáo lỗi Apple trở lại vào tháng Tư như là một phần của chương trình tiền thưởng của nó trước khi xuất bản thông tin và đưa ra Apple đã đến lúc giải quyết vấn đề mà hiện tại nó đã làm, Jain nói trong một cuộc phỏng vấn với The Hacker News.
Jain đã nhận được 100.000 đô la thanh toán Apple cho khám phá của mình, cho phép công ty tìm và khắc phục vấn đề trước khi nó có thể gây hại; dựa theo Apple Một cuộc kiểm tra nhật ký máy chủ của nó đã xác nhận rằng sự thiếu hụt đã không được khai thác để thực sự thỏa hiệp bất kỳ tài khoản nào.
