「Appleでサインイン」に重大な脆弱性！発見した研究者に約1千万円贈られる

WWDC2019で発表され少しずつ浸透してきた「Appleでサインイン」、いわゆるApple製のサードパーティログインはTwitterやFacebookのアカウントなどで他サービスにログインする仕組みで、初回登録の情報入力の煩わしさを解消するので広く利用されています。

最近はWebサービスに限らずiOSアプリなどでも取り入れられてきているのですが、この「Appleでサインイン」にとんでもない脆弱性が発見され、それを報告した研究者に報奨金10万ドル（約1,078万円）が贈られたと報じられました。

アカウント乗っ取りも可能な脆弱性

Appleが最近展開し始めたサードパーティログイン、「Appleでサインイン（Sign in with Apple）」にアカウント乗っ取りすらも可能にする重大な脆弱性があった事が明らかになりました。

これはあくまでサードパーティログインに関する脆弱性であり、Apple IDやアカウントそのもに影響するものではないのですが、対応サービスのアカウントを乗っとれてしまうの致命的な問題です。

この脆弱性の仕組みはちょっとややこしいのですが、問題点だけ上げるなら「認証で使用するトークンが認証サーバーで作られたものか確認していない」というもので、このトークンを自作できれば他人のアカウントにパスワードなど無しでログインできてしまいます。

上記のトークンは「JSON Web Token」というもので通常はそう簡単に自作できる代物ではないのですが、本物かどうか検証していないので自分のApple IDでトークンを取得してから改造すれば可能であり、比較的容易に乗っ取りができてしまうそうです。

この脆弱性が影響したのは、「Appleでサインイン」を採用し独自のセキュリティなどを施さなかったほとんどのアプリだそうで、サービス開始からかなりの期間放置されてきた重大な脆弱性ですがAppleの調査で悪用された形跡はないとの事。

また脆弱性は1ヶ月前ほどにパッチが適用されており、現在は悪用できなくなり問題は解決しているようです。

この脆弱性を発見したインドのプライバシー研究者であるバブク・ジェイン氏で、彼によればDropbox・Spotify・Airbnb・Giphyなどのアプリで乗っ取りが可能であったと話しています。

彼はAppleの報奨金プログラムであるApple Security Bounty Programに基づき、報奨金として10万ドル（約1,078万円）がAppleから送られたそうです。

まとめ

ログインに使用するトークンが本物かどうか検証しないというのはAppleらしからぬかなり初歩的なミスでしたが、とりあえず悪用された形跡が一切無かったのは不幸中の幸ですね。

現状この脆弱性を利用する事はできなくなっているので一安心ですが、もしApple Security Bounty Programが無ければ発見されてもAppleに報告されず、悪意ある人間によって利用されていたかも知れないと思うとゾッとしますね。