「Appleでサインイン」に存在する脆弱性（既に修正済み）により、攻撃者はリンクされたサードパーティサービスのユーザーアカウントにアクセスできる可能性があります。この脆弱性は研究者のBhavuk Jain氏によって発見され、同氏は同社のバグ報奨金プログラムを通じてAppleに問題を報告しました。

Hacker Newsが詳述しているように、この脆弱性は、Apple が「Apple の認証サービスからのリクエストを開始する前にクライアント側で」ユーザーを検証する方法に依存していました。「Apple でサインイン」の認証プロセスは、サーバーが JSON Web Token を生成することで構成され、サードパーティ製アプリはこれを使用してユーザーの免責を確認します。

この脆弱性によりトークンが偽造され、Apple の認証プロセスが欺かれる。

Bhavuk 氏は、Apple がリクエストを開始する前にユーザーに Apple アカウントにログインするように求めているものの、認証サーバーの次のステップで同じ人物が JSON Web Token (JWT) をリクエストしているかどうかは検証していないことを発見しました。

したがって、メカニズムのその部分で検証が行われていなかったため、攻撃者は被害者に属する別の Apple ID を提供し、Apple サーバーを騙して被害者の ID を使用してサードパーティのサービスにサインインするのに有効な JWT ペイロードを生成できた可能性があります。

この脆弱性の影響により、サードパーティ製アプリがユーザー認証時に他のセキュリティ対策を講じていない限り、「Apple でサインイン」を使用するサードパーティ製サービスのアカウント乗っ取りが可能になる可能性がありました。

「この脆弱性の影響は極めて深刻で、アカウントの完全な乗っ取りが可能になる可能性がありました。他のソーシャルログインをサポートするアプリケーションでは必須となっているため、多くの開発者がApple Sign inを統合しています。Apple Sign inを採用している企業としては、Dropbox、Spotify、Airbnb、Giphy（現在はFacebookに買収）などが挙げられます」とジェイン氏は記している。

Jain氏がこの脆弱性を報告した後、Appleは問題を修正し、バグ報奨金プログラムに基づき研究者に10万ドルを支払いました。Appleによると、サーバーのログを調査した結果、この脆弱性が実際に悪用された形跡は見つからなかったとのことです。

ここで明確にしておきたいのは、この脆弱性によって影響を受けたAppleアカウントへのアクセスが許可されたわけではないということです。この脆弱性によって、ユーザーが「Appleでサインイン」を使ってログインしてアクセスしたサードパーティサービスの乗っ取りが可能になっていた可能性があります。この脆弱性に関する詳細なレポート全文は、Jain氏のブログでご覧いただけます。

Appleは昨年のWWDCで「Sign in with Apple」を発表しました。これにより、ユーザーはApple IDとFace IDやTouch IDなどの生体認証を使ってサードパーティのサービスにサインインできるようになります。このプラットフォームの最大のメリットの一つは、サードパーティのサービスからメールアドレスを隠すことができる機能です。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。