Poważna podatność w funkcji urządzeń Apple'a

Od mniej więcej roku użytkownicy mogą logować się w różnych serwisach firm trzecich za pomocą konta Apple'a. Podobną możliwość dają m.in. Facebook i Google. Jak się jednak okazuje, zastosowanie Apple ID nie zawsze jest bezpieczne.

Problem z prywatnością

Apple chciał, by funkcja „Sign in with Apple” dzięki utajnieniu adresu e-mail użytkownika lepiej dbała o ochronę prywatności niż propozycje konkurencji. O ile opcja ta działa bez zarzutu, o tyle w oprogramowaniu odkryto poważną podatność. Poinformował o niej Bhavuk Jain, badacz ds. cyberbezpieczeństwa, który wzbogacił się dzięki temu o 100 tys. dolarów.

Luka została zgłoszona już w zeszłym miesiącu i udało się ją zataić do czasu załatania. Nie wiadomo, czy była znana przestępcom, prawdopodobnie jednak nie naraziła nikogo na poważniejsze straty.

Proste włamanie

Badaczowi udało się oszukać mechanizm dzięki temu, że podczas weryfikacji danych po stronie klienta usługa pobiera token z serwerów Apple'a. Tożsamość sprawdzano jednak w momencie zainicjowania żądania, a nie podczas prośby o token. Dzięki temu w kolejnym kroku przestępca mógł ustawić własny adres e-mail i zalogować się do usługi z cudzą tożsamością, a nawet zarejestrować nowe konto. Pozwalało to na włamanie do kont Spotify czy Dropbox użytkownika korzystającego z Apple ID.

Firma Apple sama ogłosiła wystąpienie błędu i zapewniła użytkowników, że po ostatnich aktualizacjach wszystko działa już prawidłowo.

fot. KK