Уязвимость в системе безопасности, обнаруженная Apple в биометрических функциях Touch ID или Face ID в феврале, могла допустить неавторизованный доступ к учётным записям iCloud, если они использовались для входа в учетные записи на Safari, пишет The Hacker News. Сейчас эта уязвимость исправлена.
Как это работало? При попытке войти на веб-сайт в Safari с помощью Apple ID пользователи аутентифицируют себя через Touch ID, чтобы обойти двухфакторную аутентификацию с комбинацией факторов. Это отличается от традиционного входа в систему по идентификатору и паролю для доменов Apple, где аутентификация обрабатывается iframe, встроенным в веб-сайт и связанным с сервером проверки входа Apple.
Если используется Touch ID, процесс iframe изменяется для поддержки биометрической аутентификации и получения токенов в процессе входа в систему. «Для этого демон связывается с API на gsa.apple.com, которому он отправляет детали запроса и от которого он получает токен», – поясняет издание. Уязвимость была обнаружена в API, который позволял злоупотреблять доменом. Кросс-скриптовая уязвимость может быть использована на любом поддомене. Демон аутентификации известен как «akd».
«Несмотря на то, что client_id и redirect_uri были включены в данные, отправленные ему akd, он не проверял, соответствует ли URI перенаправления идентификатору клиента», – сказал Тийс Алкемаде, специалист по безопасности, обнаруживший сбой. «Вместо этого AKAppSSOExtension применял к доменам только белый список. Разрешены были все домены, заканчивающиеся на apple.com, icloud.com и icloud.com.cn».
Другой возможный метод атаки – внедрение JavaScript на веб-сайт при первом подключении к источнику Wi-Fi.
«Вредоносная сеть Wi-Fi может ответить страницей с JavaScript, который инициирует OAuth как iCloud», – написал Алкемаде в твите. «Пользователь получает запрос TouchID, но очень понятно, что он подразумевает. Если пользователь аутентифицируется по этому запросу, то его токен сеанса будет отправлен на вредоносный сайт, предоставив злоумышленнику сеанс для своей учетной записи в iCloud».
«Путем настройки поддельной точки доступа в месте, где пользователи ожидают получить подключение (например, в аэропорту, отеле или на вокзале), можно было бы получить доступ к значительному количеству учетных записей iCloud, что позволило бы получить доступ к резервным копиям фотографий, местоположению телефона, файлам и многому другому», – добавил он.
В апреле сообщалось об уязвимости в системе хранения биометрических данных отпечатков пальцев смартфонов OnePlus 7 Pro Android, которая была исправлена.
По материалам Biometrics Research Group. Автор Luana Pascu.
