Onderzoeker kon toegang krijgen tot Apple-accounts door kwetsbaarheid in TouchID

Een Nederlandse beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt in de feature om met TouchID op Apple-sites en iCloud in te loggen. Zo kon hij accounts overnemen. Voor het uitbuiten was ook een kwetsbaarheid op Apple-websites nodig. Het lek is inmiddels gedicht.

Het lek zat in pagina's waar gebruikers met hun Apple ID konden inloggen, en dan specifiek in domeinen die eindigen op apple.com, icloud.com en icloud.com.cn. Het inloggen op een iCloud-account gebeurt op basis van OAuth2, dat met een redirect-uri verifieert of een client-id rechtmatig kan inloggen op een Apple-pagina. Beveiligingsonderzoeker Thijs Alkemade van Computest ontdekte echter dat die verificatie op een andere manier loopt als een gebruiker inlogt met TouchID. Door een kwetsbaarheid daarin zou het mogelijk zijn voor derden om in te loggen op accounts van gebruikers.

Bij het inloggen met TouchID wordt er een proces genaamd AKAppSSOExtension aangeroepen, dat communiceert met AuthKit-daemon of akd. Dit proces verifieert het client-id niet via de redirect-uri. In plaats daarvan wordt een whitelist gebruikt die alle apple.com-, icloud.com- en icloud.com.cn-domeinen automatisch doorlaat. Volgens Alkemade zou het in theorie mogelijk zijn om die domeinen te misbruiken om een client-id te laten verifiëren zonder authenticatie.

Daarvoor is het echter wel nodig om JavaScript op het domein of een subdomein uit te voeren. Dat maakt een aanval in de praktijk lastig. Een aanvaller moet bijvoorbeeld een subdomein overnemen, of er een cross-site-scripting-bug op vinden. Ook een subdomein dat via een http-verbinding kan worden bezocht zou kwetsbaar zijn.

Alkemade beschrijft verschillende methodes om het lek in de praktijk uit te buiten. "De aanval kon worden uitgevoerd vanaf de pagina die automatisch geopend wordt wanneer je op een wifi-netwerk zit waar je eerst voorwaarden moet accepteren, zoals vaak voor de netwerken in een hotel of op een vliegveld", vertelt hij. "Dat opent automatisch captive.apple.com, waardoor gebruikers door alleen een TouchID-prompt van die pagina te accepteren een aanvaller toegang geven tot hun account."

Alkemade meldde het lek eerder dit jaar aan Apple. Het bedrijf heeft de kwetsbaarheid inmiddels verholpen. De verificatieserver gebruikt nu geen whitelist meer, maar controleert of het client-id geauthenticeerd kan worden.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 03-08-2020 15:0022

03-08-2020 • 15:00

22 Linkedin

Lees meer

Apple iPhone 11

vanaf € 370,-

Score: 4

Alles over dit product

Apple iPhone SE (2020)

vanaf € 209,-

Score: 4

Alles over dit product

Nederlander legt uit hoe hij via process injection-bug macOS-bestanden kon lezen Nieuws van 19 augustus 2022
Apple iPhone 11 Pro

vanaf € 495,-

Score: 4

Alles over dit product

Apple iPhone 11 Pro Max

vanaf € 409,-

Score: 4.5

Alles over dit product

Apple begint met uitleveren van speciale iPhones aan beveiligingsonderzoekers Nieuws van 24 december 2020
Apple geeft iPhones met minder restricties aan beveiligingsonderzoekers Nieuws van 23 juli 2020
Apple brengt iOS 13.5.1 uit die Unc0ver-jailbreak onmogelijk maakt Nieuws van 2 juni 2020
Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespioneren Nieuws van 30 augustus 2019
Bedrijf biedt tot drie miljoen dollar voor zero-days in Android of iOS Nieuws van 27 april 2018
Meer producten en artikelen
Beveiliging en antivirus Smartphones Apple iPhone Beveiliging

Reacties (22)

-Moderatie-faq
22
21
14
2
0
0
Wijzig sortering
Craimasjien
3 augustus 2020 15:19
Dus eigenlijk is het geen kwetsbaarheid in TouchID maar een kwetsbaarheid in de verificatie van de gebruiker na het gebruik van TouchID. Dat vind ik toch een aardige nuance waardig. De titel impliceert dat er iets fout ging in TouchID, wat dus niet helemaal waar is. Echter wel typisch dat er gekozen is om met een ander mechanisme te werken als er via TouchID authenticatie plaats vindt.
Blokker_1999
@Craimasjien3 augustus 2020 15:53
Hangt er van af wat je aanziet als TouchID lijkt mij. De hardware is nog veilig, maar het probleem zit hem in de software rond de hardware. Je kan deze bij TouchID scharen of je kan zeggen dat dit een los stukje software is.
Zyphrax
@Blokker_19993 augustus 2020 16:00
Nee nog steeds niet. Als je TouchID zou vervangen door een 30-letterig wachtwoord, dan zou je het ook niet hebben over een kwetsbaarheid in een 30-letterig wachtwoord.

De site was kwetsbaar door een incorrecte OAuth implementatie.
jhaan1979
@Zyphrax3 augustus 2020 16:16
Wat ik begrijp wordt dat AKAppSSOExtension proces gestart als onderdeel van TouchID.

Ik heb niets kunnen vinden om dit te bevestigen. Dus beetje non-argument.

[Reactie gewijzigd door jhaan1979 op 3 augustus 2020 16:22]

AuteurTijs Hofmans
@Craimasjien3 augustus 2020 16:00
Het is alleen uit te buiten via TouchID, ik zat hier ook mee toen ik de titel schreef want dat het om TouchID gaat is uiteraard wel het belangrijkste, maar helaas kunnen we in 80 tekens maar zoveel nuance kwijt.
LarBor
@Tijs Hofmans3 augustus 2020 17:01
Het lijkt erop dat ze webauthn gebruiken en niet volgens spec hebben geïmplementeerd. Dan doe je dus het belangrijkste voordeel van dat protocol teniet: bescherming tegen man in the middle en phishing aanvallen.

[Reactie gewijzigd door LarBor op 3 augustus 2020 17:01]

Mel33
@Tijs Hofmans3 augustus 2020 17:52
Is het dan niet zo te formuleren?
"Onderzoeker kon toegang krijgen tot Apple-accounts: kwetsbaarheid via TouchID"
TheVivaldi
@Craimasjien3 augustus 2020 16:26
De titel impliceert dat er iets fout ging in TouchID, wat dus niet helemaal waar is.
Ik mag toch hopen dat veruit de meeste tweakers verder lezen dan de titel...
supersnathan94
3 augustus 2020 15:23
Oke dus als ik het goed begrijp is dit alleen praktisch bruikbaar via captive portals? Oké dat is dus wel degelijke een issue dan.

Ik ben net even op mijn telefoon naar captive.Apple.com gegaan. Dit is een website die altijd 200 success teruggeeft. Hierdoor kunnen portals de connectiviteit checken. Hiermee kun je dus in principe een auth verzoek fake. En dan naar captive.apple.com refereren als domein en als mitm er tussen gaan zitten. Je krijgt dan de credentials zelf niet in beheer maar wel een pseudo token wat op dezelfde manier gebruikt kan worden.

De impact kan dus best wel groot zijn. In steden zijn er best veel captive portals (OV, binnenstad, musea, gemeentehuis/bieb)
johnkeates
@supersnathan943 augustus 2020 18:35
Het is inderdaad ook een vervelend kip-ei probleem: captive portals detecteren kan met TLS niet, want als de portal zelf een MITM doet kan die de TLS CA niet vervalsen (als het goed is - je weet maar nooit met de CA's van tegenwoordig). Maar als je het zonder TLS doet kan niet alleen de portal de MITM voor de redirect doen, maar later dus ook iemand anders.

Ik denk dat het in dit geval dus een derde kwetsbaarheid vereist om grootschalig ingezet te worden: je zal een grote aanbieder van publieke hotspots moeten kraken om daar een payload kwijt te kunnen (al dan niet in hun eigen captive pagina of achteraf als een MITM in het hotspot verkeer).

Kleinschalig kan je het met DNS rebinding of met klassieke 1-to-1 MITM doen, maar dat is een stuk gerichter en op dat moment kan je ook andere aanvallen doen. Dan zou je dat alleen nog maar met deze oauth2 fout van Apple doen om dat je de Apple ID van de persoon wil stelen. Probleem is dan dat je nog steeds bij MFA niet op een andere locatie of met een andere user-agent aan de slag kan; je zal je misbruik tegelijkertijd moeten doen (of hopen dat je slachtoffer geen MFA heeft :p komt ook vaak genoeg voor).
m_snel
3 augustus 2020 16:58
Ik zou wel even willen weten of hij beloond is.
frankvanes
3 augustus 2020 20:35
knap gevonden _/-\o_ ben benieuwd of hij er voor beloond is
Zyphrax
3 augustus 2020 15:57
De kwetsbaarheid heeft niets met TouchID te maken, maar met het OAuth proces er omheen. Wat een sensatie titel weer :X
Blokker_1999
@mutley693 augustus 2020 15:51
Biometrie is redelijk veilig. Dat iets zichtbaar is betekend nog niet dat je er zomaar een werkende kopie van kunt maken. Het grotere probleem met biometrie is dat je het niet kunt wijzigen. Een wachtwoord kan je veranderen, een fob of token kan je wisselen maar je gezicht of je vingers zijn niet zomaar aan te passen.
Annihlator
@Blokker_19993 augustus 2020 16:25
en biometrie kan onder druk worden afgedwongen ;) zelf vind ik daardoor biometrie niet zo geschikt als wachtwoord, dan eerder als username.
Lagonas
@Annihlator3 augustus 2020 16:41
En mijn wachtwoord voor iets kan worden afgedwongen middels een pistool op m’n hoofd. Ik bevind me nou niet echt in zaken waar het mogelijk is dat iemand zo graag in mijn telefoon wilt dat diegene dwangmiddelen zou gebruiken.
vdws
@Lagonas3 augustus 2020 16:58
Oud maar goud: https://xkcd.com/538/
Annihlator
@Lagonas3 augustus 2020 17:01
De biometrie echter ook zónder jouw medewerking...

Dit voorbeeld gaat veel verder en bréder dan enkel doormiddel van wapens en je blindstaren op dat scenario is een van de grootste valkuilen.

Denk als een mooi potentieel voorbeeld aan een aantal vingerafdrukdatabases en dat wij berusten op een aanname dat die data op zichzelf niet afdoende is voor vervalsing van authenticatie, naast de aanname dat de data niet zou kúnnen uitlekken.

In de voorbeelden van journalistiek in landen die het niet even ruim nemen met persvrijheid lijkt het mij een zeer mooi voorbeeld ;)
Lagonas
@Annihlator3 augustus 2020 17:08
Ik zeg ook nergens dat voor een bepaald deel van de mensheid biometrie niet gevaarlijk is. Zeker wel, maar daar val ik niet onder.

Verder staat mijn hele vinger afdruk niet in mijn telefoon opgeslagen. Enkel een aantal referentiepunten, dus ik zou absoluut niet weten hoe een gecodeerd schema van een aantal referentiePunten van mijn vingerafdruk kan zorgen dat mijn identiteit gestolen wordt. Mocht dit erg onaannemelijke scenario wel ooit kunnen, dan neem ik bij deze het risico voor lief.
Trommelrem
@Annihlator3 augustus 2020 17:13
Biometrie meet bloeddruk of ziet ogen. Je kunt niet met een afgehakt hoofd of met een afgehakte vinger inloggen.
GertMenkel
@mutley693 augustus 2020 16:56
Biometrie is prima voor authenticatie, het is alleen de vraag hoe goed het is als autorisatie. Goed om te zien wie je bent, niet goed om te zien wat je mag.

Het probleem met biometrie is natuurlijk dat zodra er een hogekwaliteitsscan van je vinger wordt gemaakt, je deze vinger nooit meer kan worden gebruikt om je telefoon te ontgrendelen. Met de aanwezigheid van vingerafdrukken op paspoorten en ID-kaarten heb ik zelf daarom wat twijfels over hoe veilig het is om biometrie te gebruiken.

Het ligt een beetje aan je aanvalsmodel. Als je een politieke activist bent, zou ik geen vingerafdrukscanners gebruiken. Als je maaltijdbezorger bent, kun je prima je telefoon of laptop ontgrendelen met je vingerafdruk.

In deze aanval is de biometrie gelukkig niet het probleem, het ging mis in de middleware tussen de chip die herkenning op de vingerafdruk doet en de website waar je op probeert in te loggen. Vingerafdrukken zijn met dit lek dus even veilig of gevaarlijk als ze altijd waren.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee