Войти с Apple, обнаружение ошибок зарабатывает разработчику 100 000 $

Были обнаружены подробности исправленной уязвимости в аутентификации учетной записи «Вход в Apple», нулевой день, который мог позволить злоумышленнику получить контроль над учетной записью пользователя.

Запущенный в 2019 году, «Войти через Apple» призван стать более ориентированной на конфиденциальность альтернативой системам входа в систему на веб-сайтах и ​​в приложениях на основе учетных записей Facebook и Google. Минимизируя объем данных пользователя, который используется для аутентификации и создания учетной записи, API также помог уменьшить объем отслеживания Facebook и Google, выполняемых для пользователей, в свою очередь, сделав его более приватным.

Обнародованная в субботу разработчиком, специализирующимся на безопасности, Бхавуком Джайном, уязвимость нулевого дня при входе в Apple позволила злоумышленнику получить доступ и полностью захватить учетную запись пользователя в стороннем приложении. По словам Джайна, эта ошибка позволила бы изменить контроль над учетной записью пользователя приложения, независимо от того, был ли у пользователя действительный Apple ID или нет.

Способ входа в систему с помощью функций Apple заключается в том, что он использует либо веб-токен JSON (JWT), либо код, сгенерированный серверами Apple, причем последний используется для генерации JWT, если он не существует. При авторизации Apple предоставляет пользователям возможность либо делиться, либо скрывать свой Apple Email ID со сторонним приложением, при этом для последнего выбора создается индивидуальный для пользователя идентификатор ретрансляции электронной почты Apple.

После успешной авторизации Apple создает JWT, который содержит идентификатор электронной почты и используется сторонним приложением для входа пользователя в систему.

В апреле Джейн обнаружил, что можно запросить JWT для любого идентификатора электронной почты, и когда подпись токена проверяется с помощью открытого ключа Apple, они считаются действительными. По сути, злоумышленник может создать JWT с помощью этого процесса и получить доступ к учетной записи жертвы.

Поскольку Apple обязывает включить «Вход через Apple» в приложения с другими системами входа в систему на основе социальных сетей, атака имела очень широкую базу приложений, против которых она теоретически была эффективна. Расследование службы безопасности Apple установило, что уязвимость не использовалась ни при каких атаках.

Jain ответственно раскрыл недостаток Apple, что привело к награде от программы вознаграждения за ошибки Apple, стоимостью 100 000 долларов. С тех пор Apple исправила уязвимость, но пока точно не ясно, как именно.