吳明宜蘋果第三方登入服務Sign with Apple爆出重大漏洞 可能讓駭客劫持用戶帳號
近日印度安全研究人員Bhavuk Jain發現並通報Sign with Apple系統內一個重大漏洞,獲得蘋果頒發10萬美元獎金。
這項漏洞可讓遠端攻擊者繞過蘋果的驗證機制而接管受害者透過Sign with Apple註冊的第三方服務或應用程式帳號。蘋果獲報後已經修補了漏洞。
Sign with Apple原是為了安全登入
蘋果於去年WWDC大會上公佈的Sign with Apple是一種隱私登入系統,允許用戶不必洩露真正的電子郵件信箱(也用於Apple ID)登入第三方應用程式。在註冊第三方應用程式或網站前,蘋果讓用戶有二種選項,一是提供自己的Apple Email ID,或是隱藏起來,由蘋果產生一個中介Email ID來註冊。
Jain解釋,當蘋果伺服器透過Sign with Apple驗證使用者身份時,會產生一個包含秘密資訊的JSON Web Token (JWT),應用程式就是用這個資訊來驗證使用者的身份。這個漏洞位於用戶端向蘋果驗證伺服器發出呼叫前,在用戶端裝置上驗證使用者這段過程中。
Bhavuk發現,雖然蘋果要求使用者發出呼叫前登入蘋果帳號,但並沒有驗證向蘋果伺服器呼叫JSON Web Token的是不是同一人。因此,這給了攻擊者一個機會,提供任何Email ID來呼叫JWT,而這JWT的簽章也可透過蘋果公鑰驗證為有效。也就是說,攻擊者可在這個過程中用任何Email ID假造JWT,然後存取並接管受害者的應用程式帳號。
Apple條款形同強迫應用開發者加入Sign with Apple
研究人員證實,即使使用者不透露自己的Email ID給第三方應用程式或網站,還是會被劫持其帳號。而由於去年蘋果要求支援社交平台帳號登入的應用程式,也必須支援Sign with Apple,因此影響層面很大,不論是Dropbox、Spotify、Airbnb、Giphy等帳號都面臨被劫持的風險。
不過,如果這些App同時提供使用多因素驗證,則可以降低用戶帳號劫持可能性。
研究人員今年4月通報蘋果後,蘋果已經完成漏洞修補,並且依據抓漏獎勵方案,發給這名研究人員10萬美元獎金。蘋果也指出,經過調查,證實沒有任何帳號因此漏洞被駭入。