Apple Touch ID漏洞可能让攻击者劫持iCloud帐户

今年早些时候，苹果修复了iOS和macOS中的一个安全漏洞，该漏洞可能允许攻击者未经授权访问用户的iCloud帐户。

今年2月，IT安全公司Computest的安全专家Thijs Alkemade发现了这一漏洞，该漏洞存在于苹果公司TouchID（或FaceID）生物识别功能的实现中，该功能可认证用户登录Safari网站，尤其是使用苹果ID登录的网站。

在该问题通过其负责任的披露计划报告给苹果后，这家iPhone制造商在服务器端更新中解决了该漏洞。

身份验证缺陷

该缺陷的中心前提如下。当用户尝试登录需要Apple ID的网站时，会显示一条提示，以使用Touch ID对登录进行身份验证。这样做会跳过双因素身份验证步骤，因为它已经利用了多种因素的组合进行身份验证，例如设备（你拥有的东西）和生物特征信息（你是的东西）。

在登录苹果域名（如“icloud.com”）时，使用ID和密码的通常方式进行对比，其中网站嵌入指向苹果登录验证服务器的iframe（“https://idmsa.apple.com，它处理身份验证过程。


如视频演示所示，iframe URL还包含两个其他参数—；一个标识服务（如iCloud）的“客户端id”和一个“重定向uri”，在成功验证后，该URL将被重定向到该服务。

但在使用TouchID验证用户的情况下，iframe的处理方式有所不同，因为它与AuthKit守护程序（akd）通信以处理生物认证，然后检索icloud使用的令牌（“授权码”）。com页面继续登录过程。

为此，守护进程与“gsa.apple.com”上的API进行通信，并向其发送请求的详细信息，从中接收令牌。

Computest发现的安全漏洞存在于上述gsa中。苹果com API，这在理论上使滥用这些域来验证客户端ID而无需身份验证成为可能。

“尽管akd提交给它的数据中包含了客户端id和重定向uri，但它没有检查重定向uri是否与客户端id匹配，”Alkemade指出。“相反，只有AKAppSSOExtension在这些域上应用了一个白名单。所有以apple.com、icloud.com和icloud.com.cn结尾的域都是允许的。”


这意味着攻击者可以利用苹果任意一个子域上的跨站点脚本漏洞，运行恶意JavaScript代码片段，该代码片段可以使用iCloud客户端ID触发登录提示，并使用授权令牌在iCloud上获取会话。通用域名格式。

设置假热点接管iCloud账户

在另一种情况下，可以通过将JavaScript嵌入首次连接到Wi-Fi网络（通过“capture.apple.com”）时显示的网页来执行攻击，从而允许攻击者通过接受来自该网页的TouchID提示来访问用户帐户。

Alkemade说：“恶意Wi-Fi网络可能会用JavaScript页面响应，从而将OAuth初始化为iCloud。”。“用户收到一个TouchID提示，但不清楚它意味着什么。如果用户在该提示下进行身份验证，他们的会话令牌将被发送到恶意网站，为攻击者在iCloud上的帐户提供一个会话。”

他补充说：“通过在用户希望接收专属门户的位置（例如在机场、酒店或火车站）设置一个假热点，就有可能访问大量iCloud帐户，从而可以访问图片、手机位置、文件等的备份。”。

这不是第一次在苹果的认证基础设施中发现安全问题。今年5月，苹果修补了一个影响其“使用苹果登录”系统的漏洞，该漏洞可能使远程攻击者绕过身份验证，接管使用苹果登录选项注册的第三方服务和应用上的目标用户帐户。