蘋果Sign In with Apple爆可被劫持帳號的漏洞

研究人員揭露蘋果iOS的隱私登入技術Sign in with Apple有零時差攻擊漏洞,可能導致用戶帳號被劫持。蘋果已經在接獲通報後完成修補。

Sign in with Apple是蘋果去年在iOS 13及iPad OS加入的隱私登入技術。它使用類似OAuth 2.0的身份驗證技術,用戶可使用蘋果產生的隨機電子郵件信箱來登入網站或App帳戶,而無需使用真實的Apple Email ID。

運作原理來看,蘋果伺服器會在使用者終端認證後,發出一則包含Email ID的JWT (Jason Web Token)當作私鑰給終端裝置,而在使用者登入第三方應用程式或網站時,結合終端裝置的JWT及蘋果伺服器傳來的公鑰,以完成驗證登入。

研究人員Bhavuk Jain發現,他可以利用任何Email ID,促使蘋果伺服器發送JWT,其中的簽章還可以成功通過蘋果公鑰的驗證,這表示攻擊者可連結任何email ID,進而刼持用戶的網站或應用程式帳號。因此即使用戶隱藏自己的email ID也無法保障不被駭。

由於去年秋天開始,蘋果規定所有支援第三方登入工具的App,都必須整合Sign in with Apple,因此研究人員指出,新發現的漏洞影響相當重大。所有高知名的App,包括Dropbox、Spotify、Airbnb、Giphy等都受到影響。

Jain 四月發現漏洞後通報蘋果,蘋果已完成修補,同時透過抓漏獎勵方案發出10萬美元獎金給了這名開發人員。蘋果對The Hacker News說,沒有發現有任何駭入該漏洞的證據。

Sign in with Apple可能還有其他安全隱憂,例如蘋果去年九月完成標準化的OpenID Connect大部份實作,但是獨缺實作PKCE (Proof Key for Code Exchange by OAuth Public Clients),OpenID基金會認為,這可能使Sign in with Apple遭到程式碼注入或重放(replay)攻擊。

原文來自 iThome Online