Apple đầu năm nay đã sửa một lỗ hổng bảo mật trong iOS và macOS có khả năng cho phép kẻ tấn công truy cập trái phép vào tài khoản iCloud của người dùng.
Được khám phá vào tháng Hai bởi Thijs kiềm, một chuyên gia bảo mật tại công ty bảo mật CNTT Computest, lỗ hổng trong việc triển khai tính năng sinh trắc học TouchID (hoặc FaceID) của Apple đã xác thực người dùng đăng nhập vào các trang web trên Safari, cụ thể là những người sử dụng thông tin đăng nhập Apple ID.
Sau khi vấn đề được báo cáo với Apple thông qua chương trình tiết lộ có trách nhiệm của họ, nhà sản xuất iPhone đã giải quyết lỗ hổng này trong một cập nhật phía máy chủ.
Một lỗ hổng xác thực
Tiền đề trung tâm của lỗ hổng như sau. Khi người dùng cố gắng đăng nhập vào trang web yêu cầu ID Apple, lời nhắc được hiển thị để xác thực đăng nhập bằng Touch ID. Làm như vậy bỏ qua bước xác thực hai yếu tố vì nó đã tận dụng một kết hợp các yếu tố để nhận dạng, chẳng hạn như thiết bị (thứ bạn có) và thông tin sinh trắc học (thứ bạn đang có).
Tương phản điều này trong quá trình đăng nhập vào tên miền Apple (ví dụ: “icloud.com”) theo cách thông thường với ID và mật khẩu, trong đó trang web nhúng iframe trỏ đến máy chủ xác thực đăng nhập của Apple (“https://idmsa.apple.com”), trong đó xử lý quá trình xác thực.
A thể hiện trong trình diễn video, URL iframe cũng chứa hai tham số khác – “client_id” xác định dịch vụ (ví dụ: iCloud) và “redirect_uri” có URL được chuyển hướng đến sau khi xác minh thành công.
Nhưng trong trường hợp người dùng được xác thực bằng TouchID, iframe được xử lý khác ở chỗ nó giao tiếp với daemon AuthKit (akd) để xử lý xác thực sinh trắc học và sau đó lấy mã thông báo (“Grant_code”) được icloud.com sử dụng trang để tiếp tục quá trình đăng nhập.
Để thực hiện việc này, trình nền giao tiếp với một API trên “gsa.apple.com”, nó sẽ gửi các chi tiết của yêu cầu và từ đó nó nhận được mã thông báo.
Lỗ hổng bảo mật được Computest phát hiện nằm trong API gsa.apple.com đã nói ở trên, về mặt lý thuyết có thể lạm dụng các tên miền đó để xác minh ID khách mà không cần xác thực.
“Mặc dù client_id và redirect_uri được bao gồm trong dữ liệu được gửi bởi akd, nhưng nó không kiểm tra xem URI chuyển hướng có khớp với ID khách hàng không,” Alkemade lưu ý. “Thay vào đó, chỉ có một danh sách trắng được AKAppSSOExtension áp dụng trên các tên miền. Tất cả các tên miền kết thúc bằng apple.com, icloud.com và icloud.com.cn đều được cho phép.”
Điều này có nghĩa là kẻ tấn công có thể khai thác lỗ hổng kịch bản chéo trang trên bất kỳ tên miền phụ nào của Apple để chạy đoạn mã JavaScript độc hại có thể kích hoạt lời nhắc đăng nhập bằng ID khách iCloud và sử dụng mã thông báo cấp để nhận phiên trên icloud .com.
Thiết lập các điểm nóng giả để chiếm đoạt tài khoản iCloud
Trong một kịch bản riêng biệt, cuộc tấn công có thể được thực hiện bằng cách nhúng JavaScript vào trang web được hiển thị khi kết nối với mạng Wi-Fi lần đầu tiên (thông qua “captive.apple.com”), do đó cho phép kẻ tấn công truy cập vào tài khoản của người dùng bằng cách chỉ chấp nhận lời nhắc TouchID từ trang đó.
“Mạng Wi-Fi độc hại có thể phản hồi với một trang có JavaScript khởi tạo OAuth dưới dạng iCloud,” Alkemade nói. “Người dùng nhận được lời nhắc TouchID, nhưng không rõ ý nghĩa của nó. Nếu người dùng xác thực lời nhắc đó, mã thông báo phiên của họ sẽ được gửi đến trang web độc hại, cung cấp cho kẻ tấn công phiên cho tài khoản của họ trên iCloud.”
“Bằng cách thiết lập một điểm truy cập giả ở vị trí mà người dùng mong muốn nhận được một cổng bị khóa (ví dụ: tại sân bay, khách sạn hoặc nhà ga), có thể có quyền truy cập vào một số lượng lớn tài khoản iCloud, điều này sẽ có cho phép truy cập vào bản sao lưu của hình ảnh, vị trí của điện thoại, tập tin và nhiều hơn nữa, “ông nói thêm.
Đây không phải là lần đầu tiên các vấn đề bảo mật được tìm thấy trong cơ sở hạ tầng xác thực của Apple. Vào tháng Năm, Apple đã vá một lỗ hổng tác động đến hệ thống “Đăng nhập với Apple” có thể khiến kẻ tấn công từ xa có thể bỏ qua xác thực và chiếm đoạt tài khoản của người dùng được nhắm mục tiêu trên các dịch vụ và ứng dụng của bên thứ ba đã được đăng ký bằng tùy chọn đăng nhập của Apple.
