Bug bounty hunter hĂ€mtar $ 100.000-priset för nolldagarsfel i “Logga in med Apple” -systemet

Bug bounty hunter hÀmtar $ 100.000-priset för nolldagarsfel i
I ett nötskal: Heltid bug bounty hunter Bhavuk Jain upptĂ€ckte en noll-dagars exploatering i Apples “Logga in med Apple” -system som tjĂ€nade honom en $ 100.000 bounty frĂ„n Cupertino tech företag. Den potentiellt allvarliga nolldagssĂ„rbarheten kunde ha gjort det möjligt för skadliga anvĂ€ndare att helt ta över konton för anvĂ€ndare av tredjepartswebbplatser med autentiseringsmetoden.

Logga in med Apple Àr en inloggningsmetod som lanserades förra Äret och som anvÀnds för att komma Ät onlinekonton. Det fungerar pÄ samma sÀtt att logga in med Google- eller Facebook-knappar som du ofta ser. Apple tappar dock integriteten i sitt system framför de andra och sÀger att anvÀndare kan logga in pÄ en webbplats eller applikation med iCloud utan att avslöja deras e-postadress.

SĂ„ hĂ€r fungerar det nĂ€r knappen Logga in med Apple aktiveras skapar en Apple-autentiseringsserver en JSON Web Token (JWT). AnvĂ€ndare kan vĂ€lja att dela sitt Apple-e-post-ID eller dölja det. Om den Ă€r dold skapar servern ett “Apple relay email ID”, vilket i huvudsak Ă€r ett falskt e-postmeddelande. Systemet anvĂ€nder vilken e-post som helst, falsk eller verklig, för att skapa JWT. Sedan valideras token av tredjepartswebbplatsen med Apples autentiseringsserver (diagram nedan).

NĂ€r jag till exempel anvĂ€nde den för att logga in pĂ„ Dropbox skapade Apples servrar e-post-ID: t “[email protected]” Det ID Ă€r nu permanent lĂ€nkat till mitt iCloud-konto för att logga in pĂ„ Dropbox. Metoden genererar en ny för varje applikation eller webbplats du anvĂ€nder knappen Logga in med Apple.

Problemet Àr, som utvecklaren av full stack Bhavuk Jain upptÀckte, svarar systemet pÄ en JWT-begÀran om eventuellt e-post-ID. SÄrbarheten tillÄter i princip en angripare att skapa en autentiseringsnyckel för vilket konto som helst med inloggningsmetoden.

“NĂ€r signaturen för dessa tokens verifierades med Apples offentliga nyckel, visade de sig vara giltiga. Detta innebĂ€r att en angripare kan smida en JWT genom att lĂ€nka alla e-post-ID till den och fĂ„ tillgĂ„ng till offrets konto”, sĂ€ger Jain.

Konsekvenserna av detta utnyttjande Àr tydliga. Efter att ha godkÀnts kan en angripare helt ta över offrets konto. Flera applikationer har redan implementerat Logga in med Apple, inklusive Dropbox, Spotify, Airbnb, Giphy och andra.

Jain meddelade Apple om felet i april och det genomförde en utredning. Analyser av företagets loggar hittade inget missbruk och inte heller hade utnyttjandet anvÀnts för att Àventyra nÄgra konton. Det har sedan lappat sÀkerhetshÄlet. Apple tackade ocksÄ Jain med en $ 100.000 bug bounty genom Apple Security Bounty-programmet.

Bildkredit: Logga in av The Wall Street Journal, Diagram av Bhavuk Jain