Lỗi nghiêm trọng "Sign in with Apple" khiến tài khoản người dùng bị chiếm đoạt

Apple vừa trả cho chuyên gia phát hiện lỗ hổng người Ấn Độ – Bhavuk Lain khoản tiền thưởng trị giá 100.000 USD vì đã báo cáo lỗ hổng rất nghiêm trọng ảnh hưởng đến tính năng “Sign in with Apple”.

​

Lỗ hổng hiện đã được vá có thể cho phép kẻ tấn công từ xa vượt qua xác thực và chiếm được tài khoản của người dùng mục tiêu trên các ứng dụng và dịch vụ của bên thứ 3 có đăng ký sử dụng tùy chọn "Sign in with Apple".

Ra mắt năm ngoái tại hội nghị dành cho các nhà phát triển toàn cầu của Apple, “Sign in with Apple” được giới thiệu là một cơ chế đăng nhập bảo vệ quyền riêng tư cho phép người dùng đăng ký tài khoản với các ứng dụng của bên thứ 3 mà không cần tiết lộ địa chỉ email thực tế của họ (được sử dụng như ID Apple).

Bhavuk Jain tiết lộ lỗ hổng nằm ở cách thức Apple xác thực người dùng ở phía khách hàng trước khi đưa ra yêu cầu từ máy chủ xác thực của Apple.

Cách “Sign in with Apple” hoạt động tương tự như OAuth 2.0. Có hai cách có thể xác thực người dùng bằng cách sử dụng JWT (JSON Web Token) hoặc Code được tạo bởi máy chủ Apple. Sơ đồ dưới đây biểu thị cách thức tạo và xác thực JWT hoạt động.

​

Apple cung cấp tùy chọn cho người dùng để chia sẻ ID Email của Apple với ứng dụng bên thứ 3 hoặc không. Tùy thuộc vào lựa chọn của người dùng, sau khi ủy quyền thành công, Apple tạo JWT chứa ID Email mà sau đó được ứng dụng bên thứ 3 sử dụng để đăng nhập.

​

Bhavuk cho biết: “Tôi có thể yêu cầu JWT cho bất kỳ ID Email nào từ Apple và khi các mã xác nhận này được xác minh bằng Public Key của Apple, khi đó Apple cho rằng là hợp lệ. Điều này có nghĩa kẻ tấn công có thể giả mạo JWT bằng cách liên kết bất kì ID Email nào. Và sẽ có quyền truy cập vào tài khoản của nhạn nhân”

Request mẫu

​

Ở đây, Apple đã tạo JWT (id_token) hợp lệ cho ID Email cụ thể đó.

Responese mẫu

​

Đây là lỗ hổng rất nghiêm trọng vì nó có thể cho phép chiếm quyền toàn bộ tài khoản. Nhiều nhà phát triển đã tích hợp tính năng "Sign in with Apple" vì đây là điều bắt buộc đối với các ứng dụng hỗ trợ đăng nhập tài khoản xã hội khác như Dropbox, Spotify, Airbnb, Giphy,…

Nhà nghiên cứu này cũng cho biết có thể một số dịch vụ và ứng dụng cung cấp tính năng "Sign in with Apple" cho người dùng đã sử dụng yếu tố xác thực thứ hai để giảm thiểu vấn đề cho người dùng của họ.

Apple xác nhận đã điều tra log máy chủ của mình và nhận thấy lỗ hổng không bị khai thác để chiếm quyền bất kỳ tài khoản nào.

Theo The Hacker News​