Lỗ hổng trên Apple Touch ID cho phép kẻ tấn công hack tài khoản iCloud của người dùng

Apple vừa vá một lỗ hổng bảo mật nghiêm trọng trên iOS và iMac đầu năm nay, lỗ hổng này cho phép kẻ tấn công chiếm quyền truy cập trái phép vào tài khoản iCloud của người dùng.

Lỗ hổng được phát hiện vào tháng Hai bởi Thijs Alkemade, một chuyên gia bảo mật tại công ty bảo mật Computest, lỗ hổng nằm trong chứa năng nhận diện TouchID (hoặc FaceID) tính năng nhận diện sinh học cho phép người dùng đang nhập website trên Safari, đặt biệt là những trang sử dụng đăng nhập Apple ID.

Sau khi vấn đề được báo cáo cho Apple, nhà sản xuất iPhone đã thực hiện vá lỗi bảo mật này thông qua một cập nhật server-side.

Lỗi xác thực

Tiền đề chính của lỗ hổng như sau. Khi người dùng cố gắng đăng nhập vào một trang web yêu cầu ID Apple, một lời nhắc sẽ hiển thị để xác thực thông tin đăng nhập bằng Touch ID. Làm như vậy sẽ bỏ qua bước xác thực hai yếu tố vì nó đã tận dụng sự kết hợp của các yếu tố để nhận dạng, chẳng hạn như thiết bị (thứ bạn có) và thông tin sinh trắc học (thứ bạn đang có).

Ngược lại điều này trong quá trình đăng nhập vào các miền của Apple (ví dụ: "icloud.com") theo cách thông thường với ID và mật khẩu, trong đó trang web nhúng iframe trỏ đến máy chủ xác thực đăng nhập của Apple ("https://idmsa.apple.com"), xử lý quá trình xác thực.

URL iframe cũng chứa hai tham số khác - "client_id" xác định dịch vụ (ví dụ: iCloud) và "redirect_uri" có URL được chuyển hướng đến sau khi xác minh thành công.

Nhưng trong trường hợp người dùng được xác thực bằng TouchID, iframe được xử lý khác ở chỗ nó giao tiếp với daemon AuthKit (akd) để xử lý xác thực sinh trắc học và sau đó truy xuất mã thông báo ("Grant_code") được sử dụng bởi icloud.com trang để tiếp tục quá trình đăng nhập.

Để làm điều này, daemon giao tiếp với một API trên "gsa.apple.com", nó sẽ gửi thông tin chi tiết của yêu cầu và từ đó nó nhận được mã thông báo.

Lỗ hổng bảo mật được Computest phát hiện nằm trong API gsa.apple.com đã nói ở trên, về mặt lý thuyết, có thể lạm dụng các miền đó để xác minh ID khách hàng mà không cần xác thực.

"Mặc dù client_id và redirect_uri được bao gồm trong dữ liệu do akd gửi cho nó, nhưng nó không kiểm tra xem URI chuyển hướng có khớp với ID khách hàng hay không", Alkemade lưu ý. "Thay vào đó, chỉ có một danh sách trắng được AKAppSSOExtension áp dụng trên các miền. Tất cả các miền kết thúc bằng apple.com, icloud.com và icloud.com.cn đều được phép."

Điều này có nghĩa là kẻ tấn công có thể khai thác lỗ hổng tập lệnh chéo trang web trên bất kỳ tên miền phụ nào của Apple để chạy một đoạn mã JavaScript độc hại có thể kích hoạt lời nhắc đăng nhập bằng ID ứng dụng khách iCloud và sử dụng mã thông báo cấp để có được phiên trên icloud .com.

Thiết lập các điểm truy cập giả mạo để chiếm tài khoản iCloud

Trong một trường hợp riêng biệt, cuộc tấn công có thể được thực hiện bằng cách nhúng JavaScript trên trang web được hiển thị khi kết nối với mạng Wi-Fi lần đầu tiên (qua "captive.apple.com"), do đó cho phép kẻ tấn công truy cập vào người dùng bằng cách chấp nhận lời nhắc TouchID từ trang đó.

Alkemade cho biết: “Một mạng Wi-Fi độc hại có thể phản hồi bằng một trang có JavaScript khởi tạo OAuth dưới dạng iCloud. "Người dùng nhận được lời nhắc TouchID, nhưng không rõ hàm ý của nó. Nếu người dùng xác thực theo lời nhắc đó, mã thông báo phiên của họ sẽ được gửi đến trang web độc hại, tạo cho kẻ tấn công một phiên cho tài khoản của họ trên iCloud."

"Bằng cách thiết lập một điểm phát sóng giả ở một vị trí mà người dùng mong đợi nhận được một cổng cố định (ví dụ: tại sân bay, khách sạn hoặc ga tàu), có thể có quyền truy cập vào một số lượng đáng kể tài khoản iCloud, cho phép truy cập vào các bản sao lưu hình ảnh, vị trí của điện thoại, các tập tin và nhiều hơn nữa, "ông nói thêm.

Đây không phải là lần đầu tiên các vấn đề bảo mật được tìm thấy trong cơ sở hạ tầng xác thực của Apple. Vào tháng 5, Apple đã vá một lỗ hổng ảnh hưởng đến hệ thống "Đăng nhập bằng Apple" có thể khiến những kẻ tấn công từ xa có thể bỏ qua xác thực và chiếm đoạt tài khoản của người dùng mục tiêu trên các dịch vụ và ứng dụng của bên thứ ba đã được đăng ký bằng đăng nhập của Apple trong tùy chọn.