Bug in inloggen met Apple ID maakte overname account mogelijk

Er zat een bug in Apples inlogservice voor applicaties van derden, waardoor het voor kwaadwillenden in theorie mogelijk was om een account over te nemen. "Inloggen met Apple" is een inlogservice waarmee gebruikers op apps van derden inloggen met hun Apple ID.

De programmeerfout is ontdekt door Bhavuk Jain, die deze op zijn blog uiteenzette. Het gaat om een zero day die hij in april ontdekte, en waarbij de bug inmiddels is gerepareerd door Apple. Vanwege de melding kreeg Jain een bedrag van 100.000 dollar uitgekeerd, als onderdeel van Apples 'bug bounty'-programma.

Volgens Jain zat de fout in de manier waarop een token wordt gegenereerd voor het authenticeren van een Apple ID. De beveiligingsonderzoeker ontdekte dat hij voor elk willekeurig e-mailadres een token kon laten aanmaken dat vervolgens door de publieke key van Apple werd gevalideerd. Op die manier zouden kwaadwillenden toegang kunnen krijgen tot het Apple-account dat bij het e-mailadres hoort.

Apple zou volgens Jain onderzoek hebben gedaan naar de impact van de bug, maar er zouden geen gevallen zijn ontdekt waarbij deze actief is misbruikt. Daardoor lijkt het erop dat er geen accounts zijn gestolen of overgenomen.

Reacties (55)

BikkelZ 1 juni 2020 09:16

Apple zou volgens Jain onderzoek hebben gedaan naar de impact van de bug, maar er zouden geen gevallen zijn ontdekt waarbij deze actief is misbruikt.

Doordat in de logs terug te vinden is wanneer er een mismatch was tussen het e-mailadres en het token.

bwerg @BikkelZ • 1 juni 2020 09:23

Dit is wel een belangrijke toevoeging. "Er zijn geen gevallen van misbruik ontdekt" betekent soms "we hebben kunnen vaststellen dat er geen misbruik is geweest" en soms ook "we kunnen achteraf niet bepalen of er misbruik is geweest". Het eerste geval is een geruststelling, het tweede maakt het helemaal niet beter. In elk nieuwsbericht waarin deze uitspraak wordt gedaan zou moeten staan welke van deze twee gevallen het is.

BikkelZ @bwerg • 1 juni 2020 12:40

Ik neem aan dat ze alle requests loggen. Dan kunnen ze dus een query loslaten die achteraf checkt of er requests zijn geweest waarbij het token niet bij het e-mail adres hoort. Als je alle vastgestelde gevallen vergelijkt met de requests van de onderzoeker weet je gewoon zeker of er meer gebeurd is dan dit.

Annihlator @BikkelZ • 1 juni 2020 18:52

En hoe lang worden die logs dan bewaard in contrast tot hoe lang de bug bruikbaar is geweest? Ik vrees dat het aannemelijk is dat logs niet oneindig bewaard worden

Groningerkoek @Annihlator • 1 juni 2020 19:51

Als men eenmaal door "een open deur" naar binnen loopt dan stopt men daar niet uit zichzelf mee, je hoeft dus echt geen maanden terug in je logs om misbruik uit te sluiten.

Annihlator @Groningerkoek • 1 juni 2020 19:58

Gezien dit ook als overtake ingezet kan worden is dat niet nodig. Als iemand deze methode gebruikt en een account kaapt om vervolgens dan wel via het normale proces een nieuwe key aan te maken, is dat dan nadien nog te achterhalen? Ik vraag me dat eigenlijk wel af.

Het lijkt me dat als iand de weakness gevonden heeft, die ook wel kan verzinnen dat die feigned-keys achteraf te achterhalen kunnen zijn/gecontroleerd kunnen worden

Voorbeeld; stel iemand heeft 3+j geleden de weakness gebruikt, account overgenomen en extra legit keys aangemaakt en die over 3 jaar tijd gebruikt; kan apple nog goed uitsluiten of dat gebeurd kán zijn? Lijkt mij iig verdomd moeilijk.

[Reactie gewijzigd door Annihlator op 23 juli 2024 11:25]

OxWax @bwerg • 1 juni 2020 09:41

dat gaan ze niet aan jouw of mijn neus hangen , denk ik

bwerg @OxWax • 1 juni 2020 09:52

In dat geval dient de misleidende zin "we hebben geen gevallen van misbruik vastgesteld" gewoon niet in het nieuwsartikel te worden overgenomen, of enkel met de toevoeging dat het bedrijf niet wilde aangeven hoe zeker ze zijn van misbruik. Dat is nou net de taak van een journalist: uitzoeken wat voor een lezer relevant is en die informatie zo goed mogelijk boven water krijgen en duidelijk presenteren.

Overigens vraag ik me af waarom ze dat niet aan onze neus gaan hangen, als ze gewoon wél hebben kunnen zien dat het niet misbruikt is. Lijkt me PR-technisch toch een handigere reactie. En soms is misbruik gewoon achteraf terug te vinden door gebruikers zelf (zoals BikkelZ al suggereert) dus bereiken ze met een wazige uitspraak niks.

[Reactie gewijzigd door bwerg op 23 juli 2024 11:25]

Lagonas @bwerg • 1 juni 2020 11:39

Dit doen ze omdat het al vaker is gebeurd dat het eerst lijkt dat er niks is gebeurd, maar later dit toch anders blijkt. Om die reden zeggen ze dat er niks is vastgesteld.

[Reactie gewijzigd door Lagonas op 23 juli 2024 11:25]

dasiro @bwerg • 1 juni 2020 19:31

die moet er zeker wel staan, anders gaan mensen weer lopen roepen dat ze helemaal niets doen om misbruik op te sporen

bwerg @dasiro • 1 juni 2020 23:37

die moet er zeker wel staan, anders gaan mensen weer lopen roepen dat ze helemaal niets doen om misbruik op te sporen

Lees mijn reacties nog eens, want je mist mijn hele punt. Die zin is de standaardreactie als er helemaal niets wordt gedaan om misbruik op te sporen. Het zou leuk zijn als, in geval van dat soort reacties, bij het nieuwsartikel vermeld staat of er inderdaad misbruik is opgespoord of dat het gewoon een betekenisloze zin is om te doen alsof.

mwa 1 juni 2020 09:42

100k? Denk dat dit soort bugs op de grijze of zwarte markt wel wat meer waard zouden zijn.. Goed van hem dat hij het op de nette manier heeft gedaan.

Trommelrem @mwa • 1 juni 2020 11:29

Hierover wordt gewoon netjes belasting afgedragen en wat overblijft is van jou. Op de zwarte markt loop je het risico op doodsbedreigingen van andere handelaren en op een naheffingsaanslag van de belastingdienst. Ieder mens met gezond verstand zou kiezen voor de optie die op de langere termijn beter is.

Niet Henk @Trommelrem • 1 juni 2020 13:07

Op de grijze markt, echter, kan je vaak legaal een hoop meer geld vangen voor dezelfde bug op een 100% legale manier (en dan moet je natuurlijk ook belasting afdragen).

Zie bijvoorbeeld hoeveel geld Zerodium voor bepaalde bugs over heeft (prijslijst hier). Vaak is dat veel meer dan wat Apple/Microsoft/Google ervoor betalen.

Een noot hierbij is dat Zerodium i.i.g. nu maar beperkt iOS zero-days inkoopt omdat ze momenteel genoeg bugs hebben. Voor iCloud heb ik echter geen vergelijkbaar nieuws gehoord, maar die staat ook niet op hun prijslijst.

[Reactie gewijzigd door Niet Henk op 23 juli 2024 11:25]

raro007 @mwa • 1 juni 2020 11:23

en zwarte markt loop je geen risico? laat staan 1 te vinden..

ari3 1 juni 2020 13:53

Semi-gerelateerd aan het onderwerp: als Apple $100.000 uitkeert aan iemand die bedrijfsmatig naar bugs speurt, is Apple dan gehouden om BTW over $100.000 te voldoen?

brabbelaar @ari3 • 1 juni 2020 15:40

De speurder stuurt dan een factuur aan Apple en hij moet dus de BTW voldoen. Maar wanneer het wordt gezien als een 'prijs' of een soort beurs of zo is mogelijk hele andere belasting van toepassing. En dan is natuurlijk nog de vraag in welk land.

familyman @ari3 • 1 juni 2020 18:16

Volgens mij is dit geen factuur, maar betaling voor arbeid. hij is namelijk (waarschijnlijk) geen ondernemer voor wat betreft de belastingdienst en daarmee niet BTW-plichtig....

Aangever dient 100,000$ als inkomen voor dat jaar aan te geven en daarmee is het klaar.

LNDN @ari3 • 1 juni 2020 18:40

Bugbounty inkomen en belasting Hier is al een discussie over geweest.

Lijkt mij zelf logisch dat dit in NL wordt opgegeven als "overige inkomsten", als je niet voor een bedrijf/bedrijfsmatig werkt.

n3z 1 juni 2020 09:20

Wat zijn die vergoedingen laag eigenlijk voor zo'n megabedrijf als Apple.

SkyStreaker @n3z • 1 juni 2020 09:25

Ik denk dat er wordt gekeken of er ook aanwijzingen zijn van misbruik van de exploit en de mate van escalatie daarin. Dat zal ongetwijfeld de hoogte van de beloning uitmaken. En, het is geen "vergoeding", zoals gezegd is het een beloning

fietser1997 @SkyStreaker • 1 juni 2020 09:35

Bug bounty programma's beoordelen op impact van low tot critical. Actieve misbruik wordt niet mee gerekend in de hoogte van de beloning. Het andere onderdeel van de berekening zit hem in hoe ingewikkeld is het uitvoeren van de exploit van easy tot hard waarbij de beloning voor easy hoger is dan hard.
Deze 2 onderdelen bepalen voor 95% of je in de 1000, 10000, 100000 of 1M categorie komt.
Anders zou je voor zero-days minder vergoeding krijgen dan een actief gebruikte hack. (zou wat vreemd zijn denk ik)

[Reactie gewijzigd door fietser1997 op 23 juli 2024 11:25]

Horatius @fietser1997 • 1 juni 2020 09:43

Krijg je dan meer of minder als de hack lastiger is uit te voeren?

foxofinfinety @Horatius • 1 juni 2020 09:47

Minder, hoe lastiger hij is hoe minder 'gevaarlijk' het is, omdat er minder mensen zullen zijn die het kunnen misbruiken.

Blokker_1999

Beveiliging en antivirus
Apple

@foxofinfinety • 1 juni 2020 10:09

Je kan het ook omdraaien: hoe lastiger, hoe moeilijker te ontdekken en daarom zou je die net beter moeten belonen.

xnyhps @Blokker_1999 • 1 juni 2020 11:02

Er is natuurlijk een groot verschil tussen hoe moeilijk de bug te vinden is, hoe moeilijk het is een exploit te ontwikkelen is en hoe moeilijk het is die exploit te gebruiken. Moeilijk te misbruiken verlaagt het bedrag, terwijl een ingewikkelde maar succesvolle exploit het bedrag juist verhoogt.

Apple zegt daar zelf over:

The top payouts in each category are reserved for high quality reports and are meant to reflect significant effort, and as such are applicable to issues that impact all or most Apple platforms, or that circumvent the full set of latest technology mitigations available. Payouts vary based on available hardware and software mitigations that must be bypassed for successful exploitation.

Keypunchie

Apple

@n3z • 1 juni 2020 09:42

Leuk jaarsalaris, hoor.

Even aannemende dat je van security je beroep maakt, lijkt me dat je op basis van deze bug ook wel je reputatie oppoetst en naast alleen het geld in je zak, dat op basis van zo’n vondst genoeg werkgevers je voor kortere of langere tijd willen inhuren voor een goed bedrag.

De verleiding om het crimineel te gaan exploiteren lijkt me iig. laag vergeleken met de beloning via de ‘koninklijke’ route.

Sandwalker

@Keypunchie • 1 juni 2020 10:29

Ik denk dat er een groter bedrag te halen was geweest bij “beveiligingsbedrijven” maar deze route is gewoon veel ethischer en geeft bragging rights.

Verwijderd @n3z • 1 juni 2020 12:42

Maar stel dat zo'n iemand hier een jaar fulltime mee bezig is geweest (wat ik niet denk) dan heeft hij alsnog een prima jaarsalaris waar vrij veel mensen u tegen zeggen. Ik vind het altijd bijzonder dat omdat het een groot bedrijf is de uitkeringen voor alles ook opeens gigantisch moeten zijn, maar dat is niet hoe het werkt natuurlijk. Het is niet zo dat Apple of Google je opeens 10 miljoen moet geven voor een bug waar een start-up je een bosje bloemen voor geeft.

sympa @Verwijderd • 1 juni 2020 21:24

Je bent hier geen jaar mee bezig, maar je doet een hoop onderzoeken die op niks uitlopen en waar je dus niet voor betaald wordt.
Zoiets als een farmebedrijf dat aan medicijnen werkt, maar slechts een kleine fractie van de medicijnen haalt ooit de markt.
Maar natuurlijk niet omdat ze expres mislukkende medicijnen bedenken...

HitDyl @n3z • 1 juni 2020 09:24

Laag? Met dit soort bedragen kan je er je beroep van maken.

t link @HitDyl • 1 juni 2020 09:38

Dat kan als je dit systematisch kan doen, maar meestal is het een beetje geluk hebben en weten wat je doet. op de zwarte markt verdien je hier veel meer mee.

Verwijderd @t link • 1 juni 2020 19:41

Ja, met succesvol een bank overvallen verdien je ook meer. Toch doen de meeste mensen dat niet.

t link @Verwijderd • 1 juni 2020 20:47

Het verschil is dat de pakkans van de een gigantisch is en van de ander niet

als je zoiets doorerkoopt is de kans echt nihil dat mensen erachterkomen wie je bent.

DevilForze @n3z • 1 juni 2020 09:22

Ze kunnen natuurlijk ook gewoon dankjewel zeggen en het daarbij laten.

Sjaak2k @n3z • 1 juni 2020 09:23

Nou en of. Keertje boodschappen doen en weg is het.

DigitalExorcist @n3z • 1 juni 2020 09:56

Denk dat het een prima uurloon is hoor...

BikkelZ @n3z • 1 juni 2020 10:22

Op zich is 100.000 een mooi bedrag voor het feit dat je alleen een beetje hoeft te rommelen met requests. Ik weet uit ervaring dat bij veel bedrijven dit soort beveiliging vaak rommelt, bij Facebook kon je in het begin ook vaak alle foto's uitlezen met één token, niet alleen die van je vrienden. Je moest alleen eerst achterhalen wat de juiste id's waren van de foto's, maar dat kon je ook weer vinden via een omweg. Toen toch al een bedrijf met miljoenen gebruikers.

jeffreytigch @theduke1989 • 1 juni 2020 09:25

Apple deelt vaak genoeg gegevens met de FBI onder bevel. Deze toegang hadden zij praktisch al.

theduke1989 @jeffreytigch • 1 juni 2020 09:31

Kan me juist het tegenovergestelde herinneren. Dat Apple juist niet deelt. de laatste keer was ook geweigerd door Apple waardoor ze in-huis moesten werken.

t link @theduke1989 • 1 juni 2020 09:39

dat had met toegang tot apparaten te maken, niet met toegang tot email.

Keypunchie

Apple

@theduke1989 • 1 juni 2020 09:54

Apple deelt alle gegevens waar zij toegang toe hebben. Zoals iCloud en iTunes data. Alleen zijn sommige gegevens in iCloud versleuteld en kan Apple er zelf niet eens bij. (is een vrij beperkte lijst overigens: https://support.apple.com/en-us/HT202303 het stukje onder ‘end-to-end encrypted’)

En alles dat je alleen lokaal op de telefoon hebt, daar kan Apple ook niet bij.

Wat Apple weigert is om hun OS bewust lek te maken/lekke versie van hun OS te ondertekenen, zodat zij via een achterdeurtje hun eigen telefoons zouden kunnen kraken.

Het is een beetje alsof je een kluizenmaker vraagt om voor elke kluis ook een geheim schroefje erin te stoppen, waarmee je ook de kluis kan openen en dat alleen de politie daar weet van heeft. Dat blijft natuurlijk nooit geheim. Hetzelfde geldt voor een lekke versie van het OS, daar komen allerhande types (georganiseerde misdaad, foute overheden, schimmige inlichtingendiensten, vage security-bedrijfjes) binnen de kortste keren aan.

De beste oplossing is om zo’n versie van het OS nooit te maken en niet beschikbaar te stellen.

Myaimistrue @Keypunchie • 1 juni 2020 10:14

“Apple deelt alle gegevens waar zij toegang toe hebben.

Dat is een nogal een algemeen statement. “Apple deelt soms, op uitdrukkelijk verzoek van de autoriteiten...”

Lord Anubis @theduke1989 • 1 juni 2020 14:11

zoals door anderen vermeld, geven ze wel de verplichtte info door. Maar om hier voor een -1 te krijgen is belachelijk.

Bozebeer38 @jeffreytigch • 1 juni 2020 09:37

Zij delen niets en weigeren mee te werken ook niet middels backdoors.

Daar is de fbi niet happy mee maar tough luck voor de politiestaat wat amerika in feite is.

SacredRose @Bozebeer38 • 1 juni 2020 10:00

Apple deelt heus wel gegevens als je met het juiste gerechtelijke bevel aankomt zetten en zolang het gegevens zijn waar ze toegang toe hebben.
Ze gaan alleen geen backdoors in bouwen om altijd toegang te krikgen tot een toestel.

nils83 @Bozebeer38 • 1 juni 2020 10:38

Klopt helemaal niet wat je zegt, Apple deelt wel degelijk gewoon alles wat in de cloud staat en gegevens die ze in hun systemen hebben met de instanties na bvb een gerechtelijk bevel.

Waar heel de heisa met de FBI om draait, is dat Apple weigert om de iPhone zelf te unlocken. Hiervoor zou een backdoor moeten ingebouwd worden (die er volgens Apple niet is), want de encryption key is immers niet bekend (verdachte weigert pin te geven of is overleden).
En het is net die backdoor die ze niet willen inbouwen, dus kunnen ze ook geen toegang aan de FBI geven. De gedachte van Apple is dat het inbouwen van dergelijke backdoor het hele systeem onveiliger maakt.

Keypunchie

Apple

@theduke1989 • 1 juni 2020 09:46

Dit is domweg kunnen inloggen op 3e sites. Die overhandigen doorgaans hun data al op gerechtelijk bevel. Er zit geen volledige end-to-end encryptie op. En dat zou ook niet kunnen, denk ik, aangezien je geen private key in eigen beheer hebt. Het hele punt van dit soort inloggen is dat je het genereren/bewaren van die key aan Apple/Google/Twitter/Facebook/Whoever laat.

gepebril @theduke1989 • 1 juni 2020 14:07

Ik vraag me meer af, of dit oprecht een bug was, en geen backdoor.

Q @gepebril • 1 juni 2020 14:51

Don't contribute to malice what can be explained by incompetence

(Hanlons Razor)

Helaas heeft Apple wel vaker last gehad van dit soort beschamende bugs. Maar ik zie geen enkel belang voor Apple of tegenpartijen bij dit soort vulnerabilities.

Bovendien is deze service in kwestie relatief nieuw en bestaat sinds afgelopen jaar meen ik.

Security is echt zeer complex, een fout maken is erg makkelijk. Zie ook hoe lang het heeft geduurd voordat al die Intel processor vulnerabilities (Spectre en Meltdown) aan het ligt kwamen.

(maar dat was vast ook een conspiracy waarbij Intel met de NSA samenwerkte

)

[Reactie gewijzigd door Q op 23 juli 2024 11:25]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (55)

Sorteer op:

Weergave: