蘋果Sign In with Apple爆可被劫持帳號的漏洞

研究人員揭露蘋果iOS的隱私登入技術Sign in with Apple有零時差攻擊漏洞，可能導致用戶帳號被劫持。蘋果已經在接獲通報後完成修補。

Sign in with Apple是蘋果去年在iOS 13及iPad OS加入的隱私登入技術。它使用類似OAuth 2.0的身份驗證技術，用戶可使用蘋果產生的隨機電子郵件信箱來登入網站或App帳戶，而無需使用真實的Apple Email ID。

運作原理來看，蘋果伺服器會在使用者終端認證後，發出一則包含Email ID的JWT （Jason Web Token）當作私鑰給終端裝置，而在使用者登入第三方應用程式或網站時，結合終端裝置的JWT及蘋果伺服器傳來的公鑰，以完成驗證登入。

研究人員Bhavuk Jain發現，他可以利用任何Email ID，促使蘋果伺服器發送JWT，其中的簽章還可以成功通過蘋果公鑰的驗證，這表示攻擊者可連結任何email ID，進而刼持用戶的網站或應用程式帳號。因此即使用戶隱藏自己的email ID也無法保障不被駭。

由於去年秋天開始，蘋果規定所有支援第三方登入工具的App，都必須整合Sign in with Apple，因此研究人員指出，新發現的漏洞影響相當重大。所有高知名的App，包括Dropbox、Spotify、Airbnb、Giphy等都受到影響。

Jain 四月發現漏洞後通報蘋果，蘋果已完成修補，同時透過抓漏獎勵方案發出10萬美元獎金給了這名開發人員。蘋果對The Hacker News說，沒有發現有任何駭入該漏洞的證據。

Sign in with Apple可能還有其他安全隱憂，例如蘋果去年九月完成標準化的OpenID Connect大部份實作，但是獨缺實作PKCE （Proof Key for Code Exchange by OAuth Public Clients），OpenID基金會認為，這可能使Sign in with Apple遭到程式碼注入或重放（replay）攻擊。