セキュリティ研究者のバヴク・ジェイン氏は、DropboxやSpotifyからAirbnbまで、無数のサイト上のアカウントにアクセスされる恐れのあるAppleのサインインシステムの重大な欠陥を報告し、10万ドルの報酬を獲得した。
ジェイン氏は4月、昨年開始されたシングルサインインサービス「Sign in with Apple」の脆弱性を発見した。このサービスでは、AppleアカウントIDを使ってサードパーティ製アプリにログインできる。彼はバグ報奨金プログラムを通じてクパチーノにバグレポートを送信し、10万ドルの賞金を手にし、Appleが問題を修正した週末に、欠陥の詳細を明らかにした。
Apple Macファンのあなた。自家製オートミルクラテはやめてください。セキュリティバグも修正してください。
続きを読む
「もし、あなたのお気に入りのウェブサイトやアプリのアカウントを乗っ取るのに必要なのはメールアドレスだけ、と言ったらどうしますか? 怖いですよね?」と、インドを拠点とし、React Nativeモバイルアプリを専門とするフルスタック開発者のJain氏は投稿しました。
「他のソーシャルログインをサポートするアプリケーションでは必須であるため、多くの開発者が Sign in with Apple を統合しています。」
このセキュリティホールは、FacebookやGoogleのサインインサービスに相当するAppleのサービスを使用するすべてのサードパーティ製アプリに影響を及ぼし、「被害者が有効なApple IDを持っているかどうかに関係なく、そのサードパーティ製アプリケーション上のユーザーアカウントの完全な乗っ取りにつながる可能性がありました。」
このサービスは2つの方法で動作します。ユーザーはJSON Web Token(JWT)またはAppleのサーバーで生成されたコードを使用して認証され、その後JWTが生成されます。Appleサーバー経由のアプローチでは、AppleはユーザーにAppleのメールIDをサードパーティと共有するオプションを提供します。このオプションを選択した場合、メールIDはトークンに含まれます。
すべてのエリアにアクセス
27歳のジェインは、どんなメールIDでもトークンをリクエストでき、Appleの公開鍵で検証すれば有効と認められることを発見した。つまり、誰かのメールアドレスさえあればトークンを偽造し、サードパーティのウェブサイトでその人のアカウントにアクセスすることが可能だったのだ。
ジェイン氏は、Appleのログインシステムを使用しているため、この脆弱性の影響を受けるサービスには、Dropbox、Spotify、Airbnbなどが含まれると指摘した。「この脆弱性の影響は極めて深刻で、アカウントの完全な乗っ取りが可能になる可能性がありました」と同氏は指摘した。
Appleはプログラミングミスを確認し、サーバーにパッチを適用した。ジェイン氏によると、この脆弱性が悪用されたかどうかを調査した結果、悪用されていないと結論付けたという。これはAppleにとって非常に厄介な問題となり、FacebookやGoogleへの対抗策を後退させる可能性があった。ジェイン氏はこれを最初に発見したことで10万ドルの利益を得たことになる。
4月には、別のセキュリティ研究者がAppleのSafariブラウザをハッキングし、MacとiPhoneの両方のカメラにアクセスする方法を発見したとして、Appleから7万5000ドルの報酬を受け取りました。この脆弱性はブラウザのアップデートで修正されました。®
