Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker kon toegang krijgen tot Apple-accounts door kwetsbaarheid in TouchID

Een Nederlandse beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt in de feature om met TouchID op Apple-sites en iCloud in te loggen. Zo kon hij accounts overnemen. Voor het uitbuiten was ook een kwetsbaarheid op Apple-websites nodig. Het lek is inmiddels gedicht.

Het lek zat in pagina's waar gebruikers met hun Apple ID konden inloggen, en dan specifiek in domeinen die eindigen op apple.com, icloud.com en icloud.com.cn. Het inloggen op een iCloud-account gebeurt op basis van OAuth2, dat met een redirect-uri verifieert of een client-id rechtmatig kan inloggen op een Apple-pagina. Beveiligingsonderzoeker Thijs Alkemade van Computest ontdekte echter dat die verificatie op een andere manier loopt als een gebruiker inlogt met TouchID. Door een kwetsbaarheid daarin zou het mogelijk zijn voor derden om in te loggen op accounts van gebruikers.

Bij het inloggen met TouchID wordt er een proces genaamd AKAppSSOExtension aangeroepen, dat communiceert met AuthKit-daemon of akd. Dit proces verifieert het client-id niet via de redirect-uri. In plaats daarvan wordt een whitelist gebruikt die alle apple.com-, icloud.com- en icloud.com.cn-domeinen automatisch doorlaat. Volgens Alkemade zou het in theorie mogelijk zijn om die domeinen te misbruiken om een client-id te laten verifiëren zonder authenticatie.

Daarvoor is het echter wel nodig om JavaScript op het domein of een subdomein uit te voeren. Dat maakt een aanval in de praktijk lastig. Een aanvaller moet bijvoorbeeld een subdomein overnemen, of er een cross-site-scripting-bug op vinden. Ook een subdomein dat via een http-verbinding kan worden bezocht zou kwetsbaar zijn.

Alkemade beschrijft verschillende methodes om het lek in de praktijk uit te buiten. "De aanval kon worden uitgevoerd vanaf de pagina die automatisch geopend wordt wanneer je op een wifi-netwerk zit waar je eerst voorwaarden moet accepteren, zoals vaak voor de netwerken in een hotel of op een vliegveld", vertelt hij. "Dat opent automatisch captive.apple.com, waardoor gebruikers door alleen een TouchID-prompt van die pagina te accepteren een aanvaller toegang geven tot hun account."

Alkemade meldde het lek eerder dit jaar aan Apple. Het bedrijf heeft de kwetsbaarheid inmiddels verholpen. De verificatieserver gebruikt nu geen whitelist meer, maar controleert of het client-id geauthenticeerd kan worden.

Door Tijs Hofmans

Redacteur privacy & security

03-08-2020 • 15:00

22 Linkedin

Reacties (22)

Wijzig sortering
Dus eigenlijk is het geen kwetsbaarheid in TouchID maar een kwetsbaarheid in de verificatie van de gebruiker na het gebruik van TouchID. Dat vind ik toch een aardige nuance waardig. De titel impliceert dat er iets fout ging in TouchID, wat dus niet helemaal waar is. Echter wel typisch dat er gekozen is om met een ander mechanisme te werken als er via TouchID authenticatie plaats vindt.
Hangt er van af wat je aanziet als TouchID lijkt mij. De hardware is nog veilig, maar het probleem zit hem in de software rond de hardware. Je kan deze bij TouchID scharen of je kan zeggen dat dit een los stukje software is.
Nee nog steeds niet. Als je TouchID zou vervangen door een 30-letterig wachtwoord, dan zou je het ook niet hebben over een kwetsbaarheid in een 30-letterig wachtwoord.

De site was kwetsbaar door een incorrecte OAuth implementatie.
Wat ik begrijp wordt dat AKAppSSOExtension proces gestart als onderdeel van TouchID.

Ik heb niets kunnen vinden om dit te bevestigen. Dus beetje non-argument.

[Reactie gewijzigd door jhaan1979 op 3 augustus 2020 16:22]

Het is alleen uit te buiten via TouchID, ik zat hier ook mee toen ik de titel schreef want dat het om TouchID gaat is uiteraard wel het belangrijkste, maar helaas kunnen we in 80 tekens maar zoveel nuance kwijt.
Het lijkt erop dat ze webauthn gebruiken en niet volgens spec hebben geïmplementeerd. Dan doe je dus het belangrijkste voordeel van dat protocol teniet: bescherming tegen man in the middle en phishing aanvallen.

[Reactie gewijzigd door LarBor op 3 augustus 2020 17:01]

Is het dan niet zo te formuleren?
"Onderzoeker kon toegang krijgen tot Apple-accounts: kwetsbaarheid via TouchID"
De titel impliceert dat er iets fout ging in TouchID, wat dus niet helemaal waar is.
Ik mag toch hopen dat veruit de meeste tweakers verder lezen dan de titel...
Oke dus als ik het goed begrijp is dit alleen praktisch bruikbaar via captive portals? Oké dat is dus wel degelijke een issue dan.

Ik ben net even op mijn telefoon naar captive.Apple.com gegaan. Dit is een website die altijd 200 success teruggeeft. Hierdoor kunnen portals de connectiviteit checken. Hiermee kun je dus in principe een auth verzoek fake. En dan naar captive.apple.com refereren als domein en als mitm er tussen gaan zitten. Je krijgt dan de credentials zelf niet in beheer maar wel een pseudo token wat op dezelfde manier gebruikt kan worden.

De impact kan dus best wel groot zijn. In steden zijn er best veel captive portals (OV, binnenstad, musea, gemeentehuis/bieb)
Het is inderdaad ook een vervelend kip-ei probleem: captive portals detecteren kan met TLS niet, want als de portal zelf een MITM doet kan die de TLS CA niet vervalsen (als het goed is - je weet maar nooit met de CA's van tegenwoordig). Maar als je het zonder TLS doet kan niet alleen de portal de MITM voor de redirect doen, maar later dus ook iemand anders.

Ik denk dat het in dit geval dus een derde kwetsbaarheid vereist om grootschalig ingezet te worden: je zal een grote aanbieder van publieke hotspots moeten kraken om daar een payload kwijt te kunnen (al dan niet in hun eigen captive pagina of achteraf als een MITM in het hotspot verkeer).

Kleinschalig kan je het met DNS rebinding of met klassieke 1-to-1 MITM doen, maar dat is een stuk gerichter en op dat moment kan je ook andere aanvallen doen. Dan zou je dat alleen nog maar met deze oauth2 fout van Apple doen om dat je de Apple ID van de persoon wil stelen. Probleem is dan dat je nog steeds bij MFA niet op een andere locatie of met een andere user-agent aan de slag kan; je zal je misbruik tegelijkertijd moeten doen (of hopen dat je slachtoffer geen MFA heeft :p komt ook vaak genoeg voor).
Ik zou wel even willen weten of hij beloond is.
knap gevonden _/-\o_ ben benieuwd of hij er voor beloond is
De kwetsbaarheid heeft niets met TouchID te maken, maar met het OAuth proces er omheen. Wat een sensatie titel weer :X
Biometrie is redelijk veilig. Dat iets zichtbaar is betekend nog niet dat je er zomaar een werkende kopie van kunt maken. Het grotere probleem met biometrie is dat je het niet kunt wijzigen. Een wachtwoord kan je veranderen, een fob of token kan je wisselen maar je gezicht of je vingers zijn niet zomaar aan te passen.
en biometrie kan onder druk worden afgedwongen ;) zelf vind ik daardoor biometrie niet zo geschikt als wachtwoord, dan eerder als username.
En mijn wachtwoord voor iets kan worden afgedwongen middels een pistool op m’n hoofd. Ik bevind me nou niet echt in zaken waar het mogelijk is dat iemand zo graag in mijn telefoon wilt dat diegene dwangmiddelen zou gebruiken.
De biometrie echter ook zónder jouw medewerking...

Dit voorbeeld gaat veel verder en bréder dan enkel doormiddel van wapens en je blindstaren op dat scenario is een van de grootste valkuilen.

Denk als een mooi potentieel voorbeeld aan een aantal vingerafdrukdatabases en dat wij berusten op een aanname dat die data op zichzelf niet afdoende is voor vervalsing van authenticatie, naast de aanname dat de data niet zou kúnnen uitlekken.

In de voorbeelden van journalistiek in landen die het niet even ruim nemen met persvrijheid lijkt het mij een zeer mooi voorbeeld ;)
Ik zeg ook nergens dat voor een bepaald deel van de mensheid biometrie niet gevaarlijk is. Zeker wel, maar daar val ik niet onder.

Verder staat mijn hele vinger afdruk niet in mijn telefoon opgeslagen. Enkel een aantal referentiepunten, dus ik zou absoluut niet weten hoe een gecodeerd schema van een aantal referentiePunten van mijn vingerafdruk kan zorgen dat mijn identiteit gestolen wordt. Mocht dit erg onaannemelijke scenario wel ooit kunnen, dan neem ik bij deze het risico voor lief.
Biometrie meet bloeddruk of ziet ogen. Je kunt niet met een afgehakt hoofd of met een afgehakte vinger inloggen.
Biometrie is prima voor authenticatie, het is alleen de vraag hoe goed het is als autorisatie. Goed om te zien wie je bent, niet goed om te zien wat je mag.

Het probleem met biometrie is natuurlijk dat zodra er een hogekwaliteitsscan van je vinger wordt gemaakt, je deze vinger nooit meer kan worden gebruikt om je telefoon te ontgrendelen. Met de aanwezigheid van vingerafdrukken op paspoorten en ID-kaarten heb ik zelf daarom wat twijfels over hoe veilig het is om biometrie te gebruiken.

Het ligt een beetje aan je aanvalsmodel. Als je een politieke activist bent, zou ik geen vingerafdrukscanners gebruiken. Als je maaltijdbezorger bent, kun je prima je telefoon of laptop ontgrendelen met je vingerafdruk.

In deze aanval is de biometrie gelukkig niet het probleem, het ging mis in de middleware tussen de chip die herkenning op de vingerafdruk doet en de website waar je op probeert in te loggen. Vingerafdrukken zijn met dit lek dus even veilig of gevaarlijk als ze altijd waren.

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True