W metodzie logowania z wykorzystaniem Apple ID odkryto podatność, która pozwalała atakującemu na przejęcie konta użytkownika.
Prywatność na plus, ale co z bezpieczeństwem?
Podczas zeszłorocznej konferencji WWDC, wraz z iOS 13, firma Tima Cooka zaprezentowała nowy sposób logowania się do aplikacji i usług firm trzecich. Użytkownicy sprzętu z logo nadgryzionego jabłka otrzymali funkcję „Zaloguj się, używając konta Apple”, która w założeniach miała zapewniać wyższy poziom prywatności niż konkurencyjne rozwiązania, takie jak logowanie się za pomocą Facebooka czy Google.
macOS 10.15.5 dostępny. Aktualizacja może wydłużyć żywotność akumulatora
Korzystając z logowania z wykorzystaniem konta Apple ID możemy bowiem wybrać opcję ukrycia adresu e-mail. Wówczas do aplikacji lub strony internetowej zostanie dostarczony wygenerowany losowo, unikatowy adres e-mail. Dzięki temu, nasz adres pozostaje ukryty, ale wciąż może odbierać wiadomości na główną skrzynkę.
Okazuje się, że owszem, metodę zaproponowaną przez Apple należy docenić za zdrowsze podejście do prywatności, ale już niekoniecznie za zastosowane zabezpieczenia. Badacz podatności w oprogramowaniu, Bhavuk Jain, znalazł sposób na oszukanie mechanizmu firmy z Cupertino.
Wysoka nagroda i sprawna reakcja Apple
Wspomniany badacz za okrycie luki otrzymał od Apple nagrodę w wysokości 100 tys. dolarów. Kwota nie powinna dziwić, w końcu mieliśmy do czynienia z krytyczną wadą, mogącą narazić użytkowników urządzeń z Cupertino na poważne straty. Tak, mieliśmy – luka zgłoszona w zeszłym miesiącu, została już załatana przez Apple.
Bhavuk Jain, w wywiadzie udzielonym dla serwisu The Hacker News, wyjaśnia, że odkryta luka wykorzystywała sposób, w jaki Apple weryfikuje użytkownika po stronie klienta, przed zainicjowaniem żądania ze swoich serwerów uwierzytelniających. Serwery Apple dostarczają bowiem token, który zawiera niezbędne dane pozwalające aplikacjom firm trzecich na potwierdzenie tożsamości.
W celu sprawdzenia, czy faktycznie to właściciel urządzenia chce skorzystać z logowania za pomocą Apple ID, mechanizm prosi o zalogowanie się na konto Apple (np. przez Face ID lub wpisując hasło). Do tej pory wszystko przebiegało z zachowaniem odpowiednich środków bezpieczeństwa, problem pojawiał się w następnym kroku. Tożsamość użytkownika była sprawdzana przed zainicjowaniem żądania, ale już nie podczas prośby o wygenerowanie tokena.
Jak zaznacza Bhavuk Jain, brak weryfikacji w kolejnym kroku, pozwalał cyberprzestępcy na podanie dowolnego adresu e-mail, do którego przypisywany był token należący do ofiary. Dzięki temu, atakujący mógł zalogować się do usługi lub aplikacji z tożsamością nieświadomego użytkownika.
Co więcej, odkryta metoda działa również w przypadku wybrania opcji ukrycia prawdziwego adresu e-mail. Ponadto, możliwe było zarejestrowanie nowego konta przy wykorzystaniu danych pobranych z Apple ID należącego do ofiary. Warto zaznaczyć, że jak najbardziej możliwe było pełne przejęcie konta w usługach korzystających z logowania Apple, czyli przykładowo w Spotify, Dropbox czy Giphy.
Jak już wspomniałem, Apple załatało podatność. Dodatkowo, firma Tima Cooka wydała oświadczenie, w którym stwierdza, że użytkownicy nie powinny obawiać się o swoje dane i konta – luka nie została wykorzystana przez cyberprzestępców.
Polecamy również:
Scheda po iPhonie XR. Najpopularniejszym smartfonem początku 2020 roku został iPhone 11
źródło: The Hacker News