Apple gần đây đã trả cho nhà nghiên cứu lỗ hổng Ấn Độ Bhavuk Jain một khoản tiền thưởng trị giá 100.000 đô la khổng lồ để báo cáo một lỗ hổng rất nghiêm trọng ảnh hưởng đến ‘Đăng nhập bằng Apple‘hệ thống.
Lỗ hổng hiện đã được vá có thể cho phép kẻ tấn công từ xa bỏ qua xác thực và chiếm đoạt tài khoản của người dùng được nhắm mục tiêu trên các dịch vụ và ứng dụng của bên thứ ba đã được đăng ký bằng tùy chọn ‘Đăng nhập bằng Apple’.
Ra mắt năm ngoái tại hội nghị WWDC của Apple, ‘Đăng nhập bằng AppleTính năng được giới thiệu với thế giới như một cơ chế đăng nhập bảo vệ quyền riêng tư cho phép người dùng đăng ký tài khoản với các ứng dụng của bên thứ 3 mà không tiết lộ địa chỉ email thực tế của họ (cũng được sử dụng làm ID Apple).
Trong một cuộc phỏng vấn với The Hacker News, Bhavuk Jain tiết lộ rằng lỗ hổng anh đã phát hiện cư trú theo cách Apple xác thực người dùng ở phía khách hàng trước khi bắt đầu yêu cầu từ các máy chủ xác thực của Apple.
Đối với những người không biết, trong khi xác thực người dùng thông qua ‘Đăng nhập bằng Apple, máy chủ sẽ tạo Mã thông báo Web JSON (JWT) chứa thông tin bí mật mà ứng dụng bên thứ ba sử dụng để xác nhận danh tính của người dùng đăng nhập.
Bhavuk nhận thấy rằng mặc dù Apple yêu cầu người dùng đăng nhập vào tài khoản Apple của họ trước khi bắt đầu yêu cầu, nhưng điều đó không hợp lệ nếu cùng một người đang yêu cầu Mã thông báo web JSON (JWT) trong bước tiếp theo từ máy chủ xác thực.
Do đó, việc xác thực bị thiếu trong phần cơ chế đó có thể cho phép kẻ tấn công cung cấp ID Apple riêng cho nạn nhân, lừa máy chủ Apple tạo ra tải trọng JWT hợp lệ để đăng nhập vào dịch vụ của bên thứ 3 với danh tính của nạn nhân .
“Tôi thấy rằng tôi có thể yêu cầu JWT cho bất kỳ ID Email nào từ Apple và khi chữ ký của các mã thông báo này được xác minh bằng khóa chung của Apple, họ đã cho thấy là hợp lệ. Điều này có nghĩa là kẻ tấn công có thể giả mạo JWT bằng cách liên kết bất kỳ ID email nào và có quyền truy cập vào tài khoản của nạn nhân, “Bhavuk nói.
Nhà nghiên cứu đã xác nhận The Hacker News rằng lỗ hổng này hoạt động ngay cả khi bạn chọn ẩn ID email của mình khỏi các dịch vụ của bên thứ 3 và cũng có thể bị khai thác để đăng ký tài khoản mới với ID Apple của nạn nhân.
“Tác động của lỗ hổng này là rất nghiêm trọng vì nó có thể cho phép tiếp quản toàn bộ tài khoản. Nhiều nhà phát triển đã tích hợp Đăng nhập với Apple vì bắt buộc đối với các ứng dụng hỗ trợ đăng nhập xã hội khác. Để đặt tên cho một số sử dụng Đăng nhập với Apple – Dropbox, Spotify, Airbnb, Giphy (hiện đã được Facebook mua lại), “Bhavuk nói thêm.
Mặc dù lỗ hổng tồn tại bên phía mã Apple, nhà nghiên cứu cho biết có thể một số dịch vụ và ứng dụng cung cấp ‘Đăng nhập với Apple’ cho người dùng của họ có thể đã sử dụng yếu tố xác thực thứ hai có thể giảm thiểu vấn đề cho người dùng của họ.
Bhavuk có trách nhiệm báo cáo vấn đề với nhóm bảo mật Apple vào tháng trước và công ty hiện đã vá lỗ hổng này.
Bên cạnh việc trả tiền thưởng lỗi cho nhà nghiên cứu, để đáp lại, công ty cũng xác nhận rằng họ đã điều tra nhật ký máy chủ của họ và nhận thấy lỗ hổng không được khai thác để xâm phạm bất kỳ tài khoản nào.
