Уязвимость в Apple Touch ID позволяла взломать учетные записи iCloud

Ср 5 Август 2020 11:19

В начале нынешнего года компания Apple устранила уязвимость в iOS и macOS, которая потенциально могла позволить злоумышленнику получить несанкционированный доступ к учетной записи iCloud пользователя.

Уязвимость была обнаружена ИБ-специалистом из компании Computest Тийсом Алкемаде (Thijs Alkemade). Проблема была связана с реализацией биометрической функции TouchID (или FaceID), позволяющей аутентифицировать пользователей для входа на web-сайты в браузере Safari.

Когда пользователи пытаются авторизоваться на web-сайте, для которого требуется Apple ID, отображается запрос для аутентификации с помощью Touch ID. Данный процесс пропускает этап двухфакторной аутентификации, поскольку уже использует комбинацию факторов для идентификации, таких как устройство и биометрическая информация пользователя.

Во время авторизации в доменах Apple (например, «icloud.com») обычным способом с идентификатором и паролем сайт включает iframe, указывающий на сервер проверки входа в систему Apple («dmsa.apple.com») для обработки процесса аутентификации.

Однако, когда пользователь проверяется с помощью TouchID, iframe обрабатывается по-другому, поскольку взаимодействует с демоном AuthKit (akd) для проведения биометрической аутентификации и последующего получения токена («grant_code»). Токен используется страницей icloud.com для продолжения процесса входа в систему. Для этого демон связывается с API на gsa.apple.com для отправки подробностей запроса и получения токена.

Проблема связана с вышеупомянутым API gsa.apple.com, позволявшим потенциально злоупотреблять доменами для проверки идентификатора клиента без аутентификации. Злоумышленник мог использовать уязвимость межсайтового выполнения сценария на любом из поддоменов Apple для запуска вредоносного JavaScript-кода.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 217 дней 20 часов 23 минуты 26 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.