image

Ernstig beveiligingslek in Sign in with Apple maakte overnemen van accounts mogelijk

zondag 31 mei 2020, 10:03 door Redactie, 8 reacties

Een ernstig beveiligingslek in de inlogdienst Sign in with Apple maakte het mogelijk om willekeurige accounts van websites en applicaties die er gebruik van maken volledig over te nemen. Ongeacht of het slachtoffer over een geldig Apple ID beschikte. Apple beloonde Bhavuk Jain voor het vinden en rapporteren van de kwetsbaarheid met 100.000 dollar. De kwetsbaarheid is inmiddels verholpen.

Via Sign in with Apple kunnen gebruikers met hun Apple ID bij websites en apps inloggen en zo een account aanmaken. De inlogdienst kan gebruikers authenticeren via een JWT (JSON Web Token) of een code die door de Apple-server wordt gegenereerd. Deze code wordt vervolgens gebruikt voor het genereren van een JWT waarmee de website of app de identiteit controleert van de gebruiker die wil inloggen.

Eén van de features van Sign in with Apple is dat gebruikers niet meer hun e-mailadres hoeven te delen met de website of app waar ze een account willen aanmaken. Apple ontwikkelde hiervoor een aparte relaydienst die e-mails van de website of app doorstuurt naar het e-mailadres van de gebruiker. Wanneer de gebruiker via Sign in with Apple wil inloggen en ervoor kiest om zijn e-mailadres niet te delen, genereert Apple voor de gebruiker een specifiek Apple relay Email ID. Vervolgens creëert Apple een JSON Web Token die het relay Email ID bevat en door de website of app wordt gebruikt om de gebruiker in te loggen.

Apple bleek niet te controleren of de persoon die de JSON Web Token opvraagt ook de eigenaar van het betreffende Apple ID is. Zo was het mogelijk voor een aanvaller om het Apple ID van een slachtoffer op te geven en met de ontvangen JWT vervolgens op zijn of haar website- of app-account in te loggen.

"Ik ontdekte dat ik JSON Web Tokens voor elk Email ID van Apple kon opvragen en dat wanneer de digitale handtekening van deze tokens met de public key van Apple werd gecontroleerd, ze als geldig werden weergegeven. Dit houdt in dat een aanvaller een JSON Web Token kon vervalsen door het aan een willekeurig Email ID te koppelen en zo toegang tot het account van het slachtoffer te krijgen", aldus de onderzoeker. Zelfs als gebruikers ervoor hadden gekozen om bij het aanmaken van hun account bij een website of app niet hun Apple ID e-mailadres te delen, was het nog steeds mogelijk om toegang te krijgen. Daarnaast was het ook mogelijk om nieuwe accounts met het Apple ID van een slachtoffer aan te maken.

Jain merkt op dat veel ontwikkelaars van Sign in with Apple gebruikmaken, zoals Dropbox, Airbnb en Spotify. De onderzoeker heeft de aanval niet bij deze diensten getest, maar stelt dat een aanvaller accounts zou hebben kunnen overnemen wanneer deze diensten geen aanvullende beveiligingsmaatregelen tijdens de verificatie van de gebruiker toepasten. Afsluitend meldt Jain dat Apple een onderzoek naar het beveiligingslek heeft ingesteld en er geen aanwijzingen van misbruik zijn gevonden.

Reacties (8)
31-05-2020, 12:07 door Anoniem
Weer een backdoor ontdekt :)
31-05-2020, 14:17 door Anoniem
Hoe kan je met al die miljarden er toch zo een puinhoop van maken.
31-05-2020, 14:49 door Anoniem
100.000 dollar

Dat is nou lucratief!
01-06-2020, 09:42 door Anoniem
Door Anoniem: Hoe kan je met al die miljarden er toch zo een puinhoop van maken.
Een puinhoop bij apple is niet het probleem, maar het privé leven, daar gaat het geld ook naartoe. Wist je dan niet dat ze villa's en vakantiehuizen gekocht hebben met ons geld? Die willen ook liever feesten dan werken hé.

Bij facebook is het erger, markje verkoopt onze data, koopt villa's en feest erop los.
01-06-2020, 10:26 door Anoniem
Bij facebook is het erger, markje verkoopt onze data, koopt villa's en feest erop los.
Ja mark die lacht zich kapot, dikke lonen betalen, feestvieren en die hem zijn geven niet uitnodigen, hoe dom
moet je zijn om dom te zijn.
01-06-2020, 12:34 door Anoniem
Door Anoniem:
Door Anoniem: Hoe kan je met al die miljarden er toch zo een puinhoop van maken.
Een puinhoop bij apple is niet het probleem, maar het privé leven, daar gaat het geld ook naartoe. Wist je dan niet dat ze villa's en vakantiehuizen gekocht hebben met ons geld? Die willen ook liever feesten dan werken hé.

Bij facebook is het erger, markje verkoopt onze data, koopt villa's en feest erop los.
Wat heeft dit met het onderwerp te maken, behalve wederom onderbuikgevoelens buiten.
02-06-2020, 08:29 door Anoniem
Best opmerkelijk dat zo'n ogenschijnlijk simpele kwetsbaarheid langs de controles in het ontwikkelproces is gekomen.

Uitgerekend om dit soort logische kwetsbaarheden af te vangen in de ontwerp-/bouwfase zijn al heel lang goede processen beschikbaar (threat modeling, sdl, etc). Geen magie en zeker geen 100% zekerheid, maar juist gericht op dit soort fouten.

En je verwacht toch dat die processen al helemaal voor security-code gevolgd worden.

De grotere kwetsbaarheid lijkt me dan ook te zitten in het ontwikkelproces dat dit heeft toegelaten.
02-06-2020, 08:55 door SecOff - Bijgewerkt: 02-06-2020, 08:56
Door Anoniem:
Door Anoniem: Hoe kan je met al die miljarden er toch zo een puinhoop van maken.
Een puinhoop bij apple is niet het probleem, maar het privé leven, daar gaat het geld ook naartoe. Wist je dan niet dat ze villa's en vakantiehuizen gekocht hebben met ons geld? Die willen ook liever feesten dan werken hé.

Bij facebook is het erger, markje verkoopt onze data, koopt villa's en feest erop los.
Ook ik moet tot mijn schaamte bekennen dat ik hier schuldig aan ben. Ik verdien geld met it-security, soms voor de overheid, dus het is ook jullie geld. In plaats van dat ik dat geld investeer in extra security heb ik er een huis van gekocht en feesten mee betaald. Ik heb er kadootjes voor mijn kinderen en echtgenote van gekocht en gisteren zelfs bier.
......Het spijt me......
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.