iCloud beta op MacBook Pro

Kwetsbaarheid in Apple-websites gaf onderzoeker toegang tot Apple-accounts

Een Nederlandse beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt bij het inloggen op Apple-websites zoals iCloud.com. Bij deze websites kun je met onder andere Touch ID inloggen, maar als aan bepaalde voorwaarden voldaan is, kon een hacker inbreken op je account.
Benjamin Kuijten | iCulture.nl - · Laatst bijgewerkt:

Apple heeft het inloggen op haar eigen websites de afgelopen jaren eenvoudiger gemaakt. In plaats van dat je daar je Apple ID en wachtwoord moet invullen, log je steeds vaker in met Touch ID of Face ID. Dit werkt bijvoorbeeld met je MacBook of je iPhone. De Nederlandse beveiligingsonderzoeker Thijs Alkemade ontdekte een lek in deze websites, omdat de authenticatie op een andere manier verloopt dan normaal het geval is. Daardoor kon een hacker toegang krijgen tot jouw account. Hoewel het vrij ingewikkeld is om misbruik te maken van het lek, heeft Apple het inmiddels wel gedicht.

Lek in Apple-websites met inloggen via Touch ID

Het gaat specifiek om websites als iCloud.com en AppleID.apple.com. Inloggen op deze websites gaat op basis van OAuth2, een middel waarmee je kan inloggen op websites. Maar zodra je dit met biometrische gegevens zoals Touch ID doet, wordt de verificatie op een andere manier uitgevoerd dan normaal. Een hacker kan daardoor inloggen op het account van een gebruiker, zonder dat er een Apple ID of wachtwoord nodig is.

iCloud-website kwetsbaarheid bij inloggen met Touch ID.

De uitvoering van het lek is nogal technisch. Normaal gesproken wordt bij het openen van een Apple-website een zogenaamde client-id (zeg maar een identificatienummer van de gebruiker) geverifieerd met een redirect, om te controleren of er rechtmatig ingelogd mag worden op de website. Bij bijvoorbeeld Touch ID wordt er gebruikgemaakt van een ander proces, waarbij de client-id niet geverifieerd wordt. Deze manier gebruikt een zogenaamde whitelist van Apple-domeinen, waardoor je bij het inloggen automatisch doorgelaten wordt. Bij het gebruik van bijvoorbeeld Touch ID vraag een Apple-domein niet om tweefactorauthenticatie.

In deze video toont de onderzoeker hoe dit in de praktijk gaat. Er waren meerdere manieren om misbruik te maken van dit lek. Eén van die manieren is als je verbinding maakt via een openbaar netwerk in bijvoorbeeld een hotel of luchthaven. Je accepteert dan eerst de voorwaarden. Een aanvaller kan een Touch ID-melding in beeld tonen en door dit te accepteren geef je de hacker als het ware toestemming om in te loggen op de Apple-websites. Bovendien moet de aanvaller JavaScript op het domein uitvoeren of een subdomein overnemen.

Nu Apple het lek gedicht heeft, is het niet meer mogelijk om misbruik te maken van deze kwetsbaarheid. De onderzoeker meldde het lek eerder dit jaar aan Apple. Na de fix controleert de server of het client-id daadwerkelijk geverifieerd kan worden om in te loggen, zoals het normaal gesproken ook bij OAuth2 gaat.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 3 augustus 2020, 20:23
Via Via Tweakers
Categorieën Achtergrond, Apple
Onderwerpen apple id, beveiliging, icloud, touch id

Reacties zijn gesloten voor dit artikel.