今年早些时候,Apple修复了iOS和macOS中的安全漏洞。该漏洞可能允许攻击者未经授权访问用户的iCloud帐户。2月,IT安全公司Computest的安全专家ThijsAlkemade发现了这个漏洞。它依赖于Apple实施的TouchID(或FaceID)生物识别功能。问题被披露后,Apple在服务器端更新中解决了这个问题。身份验证漏洞一般而言,当用户登录需要AppleID的网站时,会出现界面提示使用TouchID进行登录身份验证。由于TouchID已经利用了设备和生物识别信息等因素进行身份识别,因此可以帮助用户直接跳过两个身份验证步骤。登录苹果域名(如“icloud.com”)时,通常会使用ID和密码进行比对。这些网站嵌入了指向Apple登录验证服务器(“https://idmsa.apple.com”)的iframe来处理身份验证过程。iframeURL还包含两个其他参数:标识服务(例如iCloud)的“client_id”和成功验证后重定向到的URL的“redirect_uri”。但是当使用TouchID对用户进行身份验证时,iframe的处理方式不同。它通过与AuthKit守护程序(akd)通信来处理生物识别身份验证,并检索icloud.com使用的令牌(“grant_code”)页面以继续登录过程。守护进程与“gsa.apple.com”上的API通信,向其发送请求的详细信息,并从API接收令牌。Computest发现的安全漏洞存在于上述gsa.apple.comAPI中。理论上,攻击者可以滥用这些域来验证客户端ID而无需进行身份验证。Alkemade指出,即使akd提交的数据中包含client_id和redirect_uri,它也不会检查重定向URI是否与客户端ID匹配。这意味着攻击者可以利用Apple的任何子域上的跨站点脚本漏洞来运行恶意JavaScript代码。这些代码片段可以使用iCloud客户端ID触发登录提示并使用授权令牌获取icloud.com上的时间域。设置虚假热点以侵入iCloud帐户或者,可以通过在首次连接到Wi-Fi网络(通过“captive.apple.com”)时显示的网页上嵌入JavaScript来实施攻击。攻击者只需接受该页面上的TouchID提示即可访问该用户的帐户。恶意Wi-Fi网络可以使用JavaScript响应页面,将OAuth初始化为iCloud。在这种情况下,用户会收到一个不清楚的TouchID提示,如果在该提示下通过身份验证,他们的令牌将被发送到恶意站点,从而允许攻击者在iCloud上对他们的帐户进行时间域。攻击者在用户希望接收强制门户(例如机场、酒店或火车站)的地方设置虚假热点,可能会获得对大量iCloud帐户的访问权限,例如允许访问图片备份、电话备份位置,文件等等等。这不是第一次在Apple的身份验证基础设施中发现安全问题。5月,Apple修复了一个影响其“SigninwithApple”系统的漏洞,该漏洞可能允许远程攻击者使用在Apple注册的帐户无需身份验证即可登录第三方服务和应用程序。
