Bag u opciji ''Prijava sa Appleom'' omogućava hakovanje naloga u aplikacijama i na veb sajtovima

Vesti, 01.06.2020, 10:00 AM

Vaša email adresa hakeru može biti dovoljna da preuzme vaš nalog na omiljenom veb sajtu ili u aplikaciji. Sve što napadač treba da uradi je da iskoristi bag u opciji “Prijava sa Appleom”.

Indijskom istraživaču Bhavuku Jainu Apple je nedavno platio 100.000 dolara zato što je otkrio i kompaniji prijavio ranjivost u mehanizmu „Prijava sa Appleom“.

Jain je u aprilu otkrio do tada nepoznati 0-day bag u “Prijava sa Appleom”, koji utiče na aplikacije koje koriste ovaj sistem a koje nisu sprovele svoje dodatne mere za zaštitu korisnika. Bag se mogao zloupotrebiti za potpuno preuzimanje korisničkog naloga u aplikaciji drugog proizvođača, bez obzira na to da li žrtva ima validan Apple ID ili ne.

Funkcija „Prijava sa Appleom“ je predstavljena prošle godine na Appleovoj WWDC konferenciji kao mehanizam za prijavu koji čuva privatnost i koji omogućava korisnicima da registruju nalog bez otkrivanja email adrese.

Bhavuk Jain je objasnio da je ranjivost koju je otkrio u načinu na koji je Apple potvrđivao identitet korisnika na strani klijenta pre nego što bi se pokrenuo zahtev sa Appleovih servera za proveru identiteta.

Dok se vrši provera korisnika preko „Prijave sa Appleom“, server generiše JSON Web Token (JWT) koji sadrži tajne informacije koje aplikacija koristi za potvrdu identiteta korisnika koji se prijavljuje.

Bhavuk je otkrio da iako Apple traži od korisnika da se prijave na svoj Apple nalog pre iniciranja zahteva, ne proverava da li ista osoba zahteva JSON Web Token (JWT) u sledećem koraku sa Appleovog servera.

Prema tome, nedostatak provere u tom delu mehanizma mogao je omogućiti napadaču da da drugi Apple ID od onog koji pripada žrtvi, i tako prevari Appleove servere da generišu JWT koji je validan za prijavu na uslugu treće strane sa identitetom žrtve .

“Otkrio sam da mogu da tražim JWT-ove za bilo koji email ID od Applea, i kada je potpis ovih tokena verifikovan pomoću Appleovog javnog ključa, oni se prikazuju kao validni. To znači da je napadač mogao da falsifikuje JWT povezivanjem bilo kog email ID i da pristupi nalogu žrtve”, rekao je Bhavuk.

Istraživač je rekao da je ranjivost funkcionisala čak i ako odlučite da sakrijete svoj email ID od usluga trećih strana, a može se iskoristiti i za prijavu na novi nalog sa Apple ID žrtve.

“Uticaj ove ranjivosti bio je prilično kritičan jer je mogla da omogući potpuno preuzimanje naloga”, rekao je indijski istraživač, podsećajući da opciju “Prijavi se sa Appleom” koriste Dropbox, Spotify, Airbnb, Giphy i drugi servisi.

Bhavuk je prijavio problem Appleovom timu za bezbednost prošlog meseca, a kompanija je sada ispravila bag.

Pored toga što je istraživaču isplatila nagradu, kompanija je takođe potvrdila da je istražila logove svojih servera i otkrila da propust nije korišćen za kompromitovanje naloga.