Apple baru-baru ini dikabarkan membayar hadiah sebesar $100.000 untuk peneliti keamanan asal India, Bhavuk Jain, atas laporan kerentanan kritis yang memengaruhi sistem ‘Sign in with Apple’.
Kerentanan tersebut memungkinkan penyerang melewati proses otentikasi dan mengambil alih akun pengguna yang ditargetkan pada layanan pihak ketiga dan aplikasi yang telah terdaftar menggunakan opsi ‘Sign in with Apple’.
Bhavuk Jain mengungkapkan bahwa kerentanan yang ia temukan berada dalam cara Apple memvalidasi pengguna di sisi klien sebelum memulai permintaan dari server otentikasi Apple.
Bagi yang tidak tahu, saat mengotentikasi pengguna melalui ‘Sign in with Apple,’ server menghasilkan JSON Web Token (JWT) yang berisi informasi rahasia untuk digunakan aplikasi pihak ketiga agar bisa mengonfirmasi identitas pengguna yang masuk.
Bhavuk menemukan bahwa meskipun Apple meminta pengguna untuk masuk ke akun Apple mereka sebelum memulai permintaan, itu tidak valid jika orang yang sama meminta JSON Web Token (JWT) pada langkah berikutnya dari server otentikasi.
Oleh karena hal tersebut, validasi yang hilang di bagian mekanisme itu bisa memungkinkan penyerang memberikan ID Apple terpisah milik korban, menipu server Apple untuk menghasilkan muatan JWT yang valid untuk masuk ke layanan pihak ketiga dengan identitas korban.
“Saya menemukan saya dapat meminta JWT untuk ID Email apa pun dari Apple, dan ketika tanda tangan token ini diverifikasi menggunakan kunci publik Apple, mereka menunjukkan valid. Ini berarti penyerang dapat memalsukan JWT dengan menghubungkan ID Email apa pun dan mendapatkan akses ke akun korban,” kata Bhavuk.
Peneliti mengonfirmasi bahwa kerentanan berfungsi bahkan jika pengguna memilih untuk menyembunyikan ID email dari layanan pihak ketiga dan juga dapat dieksploitasi untuk mendaftar akun baru dengan Apple ID korban.
Baca Juga: “Ditemukan Kerentanan Dalam Plugin WordPress PageLayer, 200.000 Website Kena Dampaknya“
“Dampak dari kerentanan ini cukup kritis karena bisa memungkinkan pengambilalihan akun sepenuhnya. Banyak pengembang telah mengintegrasikan fitur ini untuk aplikasi yang mendukung fitur login menggunakan akun sosial lainnya. Untuk beberapa nama yang menggunakan Sign in with Apple diantaranya ada Dropbox, Spotify, Airbnb, Giphy (yang sekarang diakuisisi oleh Facebook),” tambah Bhavuk.
Bhavuk melaporkan masalah ini secara bertanggung jawab kepada tim keamanan Apple bulan lalu, dan pihak Apple kini telah memperbaiki kerentanannya.
Selain membayar hadiah bug bounty kepada peneliti, sebagai tanggapan, pihak Apple juga mengkonfirmasi bahwa mereka melakukan investigasi log server mereka dan tidak ditemukan adanya eksploitasi kerentanan ini untuk akun pengguna mana pun.
