Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金

2020.06.02 17:00

Jody Serrano - Gizmodo US
［原文］
（ Kaori Myatt ）

Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金 — Screenshot: Andrew Liszewki

太っ腹。

でもApple（アップル）にしてみれば、仮に被害が現実のものとなったときに及んだ被害や補償額を考えると、かえって安上がりだったのかも。バグ褒賞ってよく見るけど、ほんとにお金もらえるんですね（失礼）。いや、助かりました。一攫千金のアメリカンドリームですね。デベロッパーのみなさま、お小遣い稼ぎにバグハントいかがですか～。

米ギズモードの報告です。

｢Appleでサインイン｣にバグが

重大なバグを見つけてくれたのは外部プログラマーBhavuk Jainさん。AppleがJainさんに、なんと10万ドル（約1077万3000円）もの報奨金の支払いを行なったことが話題となっています。このバグはAppleのログインシステム｢Appleでサインイン｣で見つかったもので、この脆弱性によりユーザーのアカウントが悪意ある攻撃者の手にかかったら、特定のサイトやアプリへと誘導され悪事の温床となる危険性があったとのこと...。

Here’s my first 6 digit bounty from @Apple. Blog post will be up next week. #bugbounty pic.twitter.com/QygxvtGYJb
— Bhavuk Jain (@bhavukjain1) May 24, 2020

報奨金をもらったJainさんがブログにつづっているように、バグは｢Appleでサインイン｣を使用したユーザーをAppleが検証する部分に発生していたようです。｢Appleでサインイン｣はAppleが2019年にリリースしたログインサービスで、Apple IDと組み合わせて使用でき、Facebook（フェイスブック）やGoogle（グーグル）によるログインサービスを使うと有効になるトラッキング回避を目的として設計されたものでありました。｢Appleでサインイン｣のセールスポイントはサードパーティーのアプリやサービスにも自分のメールアドレスを開示しなくていい点にありました。

大事故につながる深刻度

｢Appleでサインイン｣はユーザーの許可にJWT （JSON Web Token）を使うか、Appleサーバーで生成されたプログラムを使います。このユーザー許可の段階で、ユーザーのApple IDをサードパーティーアプリと共有するか、非表示にするかを選ぶことができます。ユーザーが特定のアプリでメールアドレスの共有を許可しない場合には、そのアプリに対してはユーザー固有のAppleのメールIDが生成されます。

許可が完了すると、ユーザーの選択肢に応じてApple側でメールIDが含まれるJWTが生成されます。生成後はこのIDがユーザーのログインに使用されるというわけです。

バグが発生したのはこの部分です。Jainさんの話によれば、実質的にはどのAppleメールIDを使ってもJWTのリクエストが可能であったことに気づいたとのこと。

これらのトークンの署名はAppleの公開キーを使用することで検証されていました。悪意ある攻撃者の手にかかれば、例えば任意のメールIDをJWTに関連づけることで、JWTを好きなように生成させる、などのようなことが可能になっていたのです。こうすればユーザーのアカウントに好きなようにアクセスできるようになってしまうんです。

ブログには詳細が説明されています。

アメリカのメディア｢Hacker News｣でのインタビューでJainさんは、Appleは許可リクエストを開始する前に、ユーザーがAppleアカウントにログインすることを求めてはいたものの、次のステップで同じ人がJWTを許可サーバーからリクエストしているかどうかの検証を怠っていたと言います。

この脆弱性はこのログインを使用するが自前のセキュリティ対策を置いていなかったサードパーティーアプリに影響が及んだというわけです。

Hacker Newsでは、悪意ある攻撃者はユーザーがAppleのメールIDをサードパーティーアプリに対して非表示にした場合にもこの脆弱性を利用できたと報告しており、被害を受けたユーザーのApple IDを使用して新しいアカウントを作成することも可能だったかもしれないとしています。

脆弱性はすでにパッチ済み

この脆弱性が及ぼしたかもしれない影響はたいへん深刻なもので、アカウントを乗っ取ることすらできてしまうほどのものでした。ソーシャルメディアのログインをサポートするアプリは｢Appleでサインイン｣ログインの実装が必須になっているため、多くのデベロッパーが｢Appleでサインイン｣のインテグレーションを導入していたのです。

とJainさん。これらのアプリの中にはDropbox、Spotify、Airbnb、Giphyも含まれているのだとか。

これらのアプリはテストされておらず、ユーザーの認証中に特段の措置が敷かれていなかった場合には、アカウントをまるまる乗っ取られる可能性もあったわけです。

Jainさんによれば、 Appleはこの脆弱性による不正な使用やアカウントの乗っ取りがないことを十分に検証し、難を免れたといいます。 Appleではすでに複数の方向より、この脆弱性のパッチをリリースして当てています。ほっ。

新型コロナ禍で世界中が混乱する中、心温まるニュースですね。

Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金

｢Appleでサインイン｣にバグが

大事故につながる深刻度

脆弱性はすでにパッチ済み

【Amazonサイバーマンデー】Chromebookが19,800円。なんだかわからなくてもポチっていいレベルでしょ?

【Amazonサイバーマンデー】M1の最新MacBook Proが5%ポイントついてる!バグなのか?サプライズなのか!?

【Amazonサイバーマンデー】お気づきでしょうが、サイバーマンデーはLogicoolのテレワークグッズ漁りの日です

【Amazonサイバーマンデー】僕はいま、冷静さを失おうとしています。HAKUBAの防湿庫が半額なんです...

脱石油には、タンパク質だ! ポテンシャルだらけの新素材、ブリュード・プロテインとは

ベスビオ火山の犠牲者の苦しみが見ててつらい。ポンペイで発掘された新たな遺体

世紀の大発明。電気要らずで乗り手の体重を推進力に変える、バネだらけの自転車ホイール

宇宙に浮かぶ巨大な｢眼｣。その謎が16年越しに解明されました

iPhone 12 miniレビュー:ミニサイズが最高だけど、バッテリーもミニすぎる

無念でしかない。プエルトリコの電波望遠鏡、崩壊の危機を経て閉鎖へ

琥珀に閉じ込められたスゴい生きものたち

サッカーの試合でボールを追跡するはずのAIカメラ、審判のスキンヘッドを追いかけ生配信

初代iPhone SEからiPhone 12 miniに変えたらいいことづくめでした!

ベスビオ火山の犠牲者の苦しみが見ててつらい。ポンペイで発掘された新たな遺体

世紀の大発明。電気要らずで乗り手の体重を推進力に変える、バネだらけの自転車ホイール

LATEST NEWS

【Amazonサイバーマンデー】使えばやみつき。オーラルケアに欠かせないフィリップスの電動歯ブラシが13,500円

【Amazonサイバーマンデー】Appleも取り扱ってるLINKSYSのメッシュWi-Fiが1万円も値下がりしてるゥゥゥ！

Apple Silicon版とインテル版のMacBook、来年も併売されるかも

【Amazonサイバーマンデー】冬場も大活躍してくれるサーキュレーターが半額で出てるよ

GIZMODO REVIEWS

ありとあらゆる点で"私たちが知っているマリオカート"が再現されている：｢マリオカートライブホームサーキット｣レビュー

｢任天堂ゲーム & ウォッチスーパーマリオブラザーズ｣にもっとたくさんのゲームが入っていれば...

MSI Creator 15レビュー：ゲームと仕事に良バランス

最近のスキャンアプリは高性能！おすすめを紹介します

ベストなパスワードマネージャーはこれ！数十種類から厳選してみた

LATEST NEWS

【Amazonサイバーマンデー】使えばやみつき。オーラルケアに欠かせないフィリップスの電動歯ブラシが13,500円

【Amazonサイバーマンデー】Appleも取り扱ってるLINKSYSのメッシュWi-Fiが1万円も値下がりしてるゥゥゥ！

Apple Silicon版とインテル版のMacBook、来年も併売されるかも

【Amazonサイバーマンデー】冬場も大活躍してくれるサーキュレーターが半額で出てるよ

【Amazonサイバーマンデー】コーヒーをいれるなら、細い口のケトルがいいんですよ

Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金

｢Appleでサインイン｣にバグが

大事故につながる深刻度

脆弱性はすでにパッチ済み

あわせて読みたい

LATEST NEWS

GIZMODO REVIEWS

LATEST NEWS