Apple heeft lek gedicht in ‘Log in met Apple’ waardoor account-kapen mogelijk bleek

Door: Night - 1 reactie
OpenID Foundation uit kritiek op Sign in With Apple

Apple heeft onlangs een beveiligingsprobleem opgelost met zijn ‘Log in met Apple’-framework. Door het lek konden hackers de authenticatie omzeilen en toegang verkrijgen tot de accounts van andere gebruikers.

Het probleem kwam aan het licht door een melding van onderzoeker Bhavuk Jain. Hij ontving voor die melding een bedrag van 100.000 dollar van Apple. Die vergoeding maakt onderdeel uit van Apple’s bugbounty programma.

Apple heeft ‘Log in met Apple‘ geïntroduceerd als een privacygericht alternatief voor Facebook- en Google-verificatiemethoden. Deze worden gebruikt door talloze apps en services over de hele wereld. De Apple variant verbergt bijvoorbeeld optioneel de e-mailadressen van een gebruiker. Zo zou de privacy van de gebruiker behouden moeten blijven.

Apple heeft onlangs alle App Store-apps verplicht om ‘Log in met Apple’ ​​aan te bieden, als deze ook het inloggen via Facebook, Google en andere services aanbieden. Een flink aantal services op internet gebruikt ‘Log in met Apple’ inmiddels al. Bij die services is het voor veel Apple-gebruikers ook al snel de favoriete verificatiemethode geworden.

Log in met Apple
‘Log in met Apple’ op macOS en iOS (kloik/tap voor groter). Afbeelding: Apple Inc.

Apple vergat bij ‘Log in met Apple’ de Apple ID’s te vergelijken

Onderzoeker Bhavuk Jain sprak in een interview met The Hacker News en legde uit hoe het lek werkte. ‘Log in met Apple’ genereert een JSON-webtoken (JWT) met geheime informatie. Apps van derden gebruiken deze dan om een ​​gebruiker te verifiëren. Apple controleerde daarna echter niet of de aanvraag voor het JSON-webtoken van dezelfde Apple ID afkwam, dat het eerste verzoek indiende. Dit betekende dat een hacker de Apple ID kon veranderen en Apple kon misleiden om de aanmelding bij het account van een andere gebruiker te verifiëren.

Bhavuk Jain zei in het interview:

Ik ontdekte dat ik JWT’s voor elke e-mail-ID van Apple kon opvragen. Toen de handtekening van deze tokens werd geverifieerd met de openbare sleutel van Apple, bleken ze tot mijn verbazing allemaal geldig te zijn. Dit betekent dat een aanvaller een JWT kan vervalsen door deze aan een willekeurig e-mail ID te koppelen om zo toegang te krijgen tot het account van het slachtoffer (…)

 

Het beveiligingslek werkte ongeacht of je de optie om je e-mailadres te verbergen had ingeschakeld voor services van derden. Vanwege de tweefactor authenticatie hadden sommige apps en services echter een andere beschermingslaag voor hun gebruikers tegen dergelijke aanvallen.

Nadat het probleem door Jain aan Apple was gemeld, herstelde deze de beveiligingsfout van hun kant direct. Apple heeft het lek verder ook grondig onderzocht en kwam hierbij tot de (gelukkige) conclusie dat het lek verder nooit door hackers is uitgebuit.

Reacties

1 reactie