​【安全圈】Apple Touch ID漏洞被用于劫持iCloud账号

今年初，苹果公司修复了一个iOS和macOS中的一个安全漏洞，攻击者利用该漏洞可以获取用户iCloud账号的未授权访问权限。该漏洞是2月份由Computest的安全研究人员Thijs Alkemade发现，漏洞位于苹果公司的TouchID (FaceID)生物特征实现中，经过认证的用户可以用TouchID 来登入Safari上的站点，尤其是那些使用Apple ID登陆的站点。研究人员将该漏洞负责任地报告给了苹果公司，随后苹果公司通过服务器端更新修复了该漏洞。

认证漏洞

当用户想要登入需要Apple ID的站点时，就会弹出一个使用Touch ID登入的认证弹窗。这样做会跳过双因子认证，因为它使用了多重因子用于身份识别，比如设备和生物特征信息。

在登入Apple域名时（如icloud.com），一般需要输入ID和密码，而网站中嵌入了一个指向苹果登入验证服务器("https://idmsa.apple.com")，负责处理认证过程。

如PoC视频所示，iframe URL中还含有2个其他的参数："client_id"和"redirect_uri"。

"client_id"用来识别服务（如iCloud），而"redirect_uri"负责在验证成功后重定向URL。

但在本例中，当用户使用TouchID 验证时，iframe的处理与AuthKit daemon (akd)通信来处理生物特征认证是不同的，之后提取icloud.com页面使用的token来继续登陆。

为此，daemon会与"gsa.apple.com" API来通信来发送请求的细节并获取token。

Computest中的安全漏洞就位于前述的gsa.apple.com API中，因此理论上可以滥用这些域名在没有认证的情况下来验证client ID。

即使client_id 和 redirect_uri都包含在akd提交的数据中，也不会检查重定向URI与client ID是否匹配。其中只有一个AKAppSSOExtension应用在这些域名上的白名单，所有以apple.com、icloud.com 和 icloud.com.cn结尾的域名都是允许的。

也就是说攻击者可以在任意Apple的子域名上利用跨站脚本漏洞来运行恶意JS代码段，其中JS代码段可以用iCloud client ID来触发登入并使用token来获取icloud.com上的会话。

搭建假的热点来接管iCloud账号

在一个单独的场景中，攻击可以通过在首次连接到WiFi网络时展示的web页面中嵌入JS来执行，这样攻击者就可以通过接收来自该页面的TouchID弹窗来访问用户账户。

恶意WiFi网络会用含有JS的页面来响应请求，JS会模拟Oauth作为iCloud。用户在接收TouchID 弹窗时，还不清楚这意味着什么。如果用户对弹窗进行了认证，session token就会发送给恶意站点，给攻击者一个iCloud上账号的session。

通过搭建一个假的热点，用户会接收一个强制门户认证(captive Portal)，因此会接收到多个iCloud账号的认证。

这并非苹果认证基础设施中首次发现安全问题。5月的时候，苹果就修复了一个影响Sign in with Apple 系统的漏洞，远程攻击者利用该漏洞可以绕过认证和接管第三方服务的用户账号。

猜你喜欢  

【安全圈】YouTube 禁止含有黑客信息的视频 担心可能干扰美国大选

【安全圈】美国将DDS视为 黑客犯罪组织

【安全圈】Instagram未能妥善处理已删除的用户照片和私信

【安全圈】半年狂赚5千万，“观影人数”超百万！这几个涉黄平台被“端”了！

【安全圈】黑客劫持了YouTube流行频道，以促进比特币诈骗

【安全圈】“戴夫”银行750万以上用户的个人信息遭泄露

【安全圈】以色列挫败朝鲜黑客的重大网络攻击

【安全圈】盐城网警侦破推广非法网站牟利案，涉案金额4000万！

【安全圈】三星Galaxy手机多个漏洞，可能导致完全丢失数据和实时位置跟踪

【安全圈】Google Chrome浏览器漏洞使数十亿用户遭受数据被盗风险

【安全圈】外媒：美国有军方背景的公司在500多款应用中植入跟踪软件

【安全圈】腾讯联合战队斩获DEF CON CTF 2020决赛总冠军！

【安全圈】高通400多个芯片存在漏洞，威胁数百万部Android手机

【安全圈】唐纳德·特朗普签署禁止TikTok和微信的行政命令

你点的每个赞，我都认真当成了喜欢