Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金

2020.06.02 17:00

Jody Serrano - Gizmodo US
［原文］
（ Kaori Myatt ）

Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金 — Screenshot: Andrew Liszewki

太っ腹。

でもApple（アップル）にしてみれば、仮に被害が現実のものとなったときに及んだ被害や補償額を考えると、かえって安上がりだったのかも。バグ褒賞ってよく見るけど、ほんとにお金もらえるんですね（失礼）。いや、助かりました。一攫千金のアメリカンドリームですね。デベロッパーのみなさま、お小遣い稼ぎにバグハントいかがですか～。

米ギズモードの報告です。

｢Appleでサインイン｣にバグが

重大なバグを見つけてくれたのは外部プログラマーBhavuk Jainさん。AppleがJainさんに、なんと10万ドル（約1077万3000円）もの報奨金の支払いを行なったことが話題となっています。このバグはAppleのログインシステム｢Appleでサインイン｣で見つかったもので、この脆弱性によりユーザーのアカウントが悪意ある攻撃者の手にかかったら、特定のサイトやアプリへと誘導され悪事の温床となる危険性があったとのこと...。

Here’s my first 6 digit bounty from @Apple. Blog post will be up next week. #bugbounty pic.twitter.com/QygxvtGYJb
— Bhavuk Jain (@bhavukjain1) May 24, 2020

報奨金をもらったJainさんがブログにつづっているように、バグは｢Appleでサインイン｣を使用したユーザーをAppleが検証する部分に発生していたようです。｢Appleでサインイン｣はAppleが2019年にリリースしたログインサービスで、Apple IDと組み合わせて使用でき、Facebook（フェイスブック）やGoogle（グーグル）によるログインサービスを使うと有効になるトラッキング回避を目的として設計されたものでありました。｢Appleでサインイン｣のセールスポイントはサードパーティーのアプリやサービスにも自分のメールアドレスを開示しなくていい点にありました。

大事故につながる深刻度

｢Appleでサインイン｣はユーザーの許可にJWT （JSON Web Token）を使うか、Appleサーバーで生成されたプログラムを使います。このユーザー許可の段階で、ユーザーのApple IDをサードパーティーアプリと共有するか、非表示にするかを選ぶことができます。ユーザーが特定のアプリでメールアドレスの共有を許可しない場合には、そのアプリに対してはユーザー固有のAppleのメールIDが生成されます。

許可が完了すると、ユーザーの選択肢に応じてApple側でメールIDが含まれるJWTが生成されます。生成後はこのIDがユーザーのログインに使用されるというわけです。

バグが発生したのはこの部分です。Jainさんの話によれば、実質的にはどのAppleメールIDを使ってもJWTのリクエストが可能であったことに気づいたとのこと。

これらのトークンの署名はAppleの公開キーを使用することで検証されていました。悪意ある攻撃者の手にかかれば、例えば任意のメールIDをJWTに関連づけることで、JWTを好きなように生成させる、などのようなことが可能になっていたのです。こうすればユーザーのアカウントに好きなようにアクセスできるようになってしまうんです。

ブログには詳細が説明されています。

アメリカのメディア｢Hacker News｣でのインタビューでJainさんは、Appleは許可リクエストを開始する前に、ユーザーがAppleアカウントにログインすることを求めてはいたものの、次のステップで同じ人がJWTを許可サーバーからリクエストしているかどうかの検証を怠っていたと言います。

この脆弱性はこのログインを使用するが自前のセキュリティ対策を置いていなかったサードパーティーアプリに影響が及んだというわけです。

Hacker Newsでは、悪意ある攻撃者はユーザーがAppleのメールIDをサードパーティーアプリに対して非表示にした場合にもこの脆弱性を利用できたと報告しており、被害を受けたユーザーのApple IDを使用して新しいアカウントを作成することも可能だったかもしれないとしています。

脆弱性はすでにパッチ済み

この脆弱性が及ぼしたかもしれない影響はたいへん深刻なもので、アカウントを乗っ取ることすらできてしまうほどのものでした。ソーシャルメディアのログインをサポートするアプリは｢Appleでサインイン｣ログインの実装が必須になっているため、多くのデベロッパーが｢Appleでサインイン｣のインテグレーションを導入していたのです。

とJainさん。これらのアプリの中にはDropbox、Spotify、Airbnb、Giphyも含まれているのだとか。

これらのアプリはテストされておらず、ユーザーの認証中に特段の措置が敷かれていなかった場合には、アカウントをまるまる乗っ取られる可能性もあったわけです。

Jainさんによれば、 Appleはこの脆弱性による不正な使用やアカウントの乗っ取りがないことを十分に検証し、難を免れたといいます。 Appleではすでに複数の方向より、この脆弱性のパッチをリリースして当てています。ほっ。

新型コロナ禍で世界中が混乱する中、心温まるニュースですね。

Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金

｢Appleでサインイン｣にバグが

大事故につながる深刻度

脆弱性はすでにパッチ済み

僕はChromebookについて勘違いしていた:ASUS Chromebook Detachable CM3レビュー

魅惑のパープル出た。iPhone 12の新色をスライドショーでお楽しみください

火星で撮影されたヤバイ画像10

ジェット・スーツの海上訓練、今度は英国海兵隊と3人のパイロットで挑戦

『フォートナイト』のEpicとアップルの裁判がカオス。音声トラブルで傍聴者の声がダダ漏れ

火星で撮影されたヤバイ画像10

イーロン・マスク｢火星に行ったら最初はたくさんの人が死ぬだろうね｣

これから新型iPadやMacを買う人は待ち時間を覚悟したほうがよさそう

NASA｢撮れるはずのない金星の画像が撮れちゃった｣

iPadを壁掛けしたいなら｢魔法のテープ｣がとっても楽ちんです

火星で撮影されたヤバイ画像10

iMacとiPadに隠れてたけど、実はサイコーな製品まとめ

Appleがその気になれば任天堂も安泰じゃない...とこれ見て焦った

あれはなんだったのか...。謎の奇病6大パンデミック

エジプトの失われた古代都市、100年に1度級の大発見

LATEST NEWS

意外と知られてないChromebookでできること12選

ギミックいろいろ。レゴからルーカスフィルム50周年記念｢R2-D2｣が登場

XboxのゲーミングノートPC、そろそろあってもいいんじゃないかな

『フォートナイト』のEpicとアップルの裁判がカオス。音声トラブルで傍聴者の声がダダ漏れ

GIZMODO REVIEWS

僕はChromebookについて勘違いしていた：ASUS Chromebook Detachable CM3レビュー

最近買ってよかったもの：意外と｢料理がんばりたくない人向け｣だった、バーミキュラのハイエンドお鍋

スマートウォッチがウン万円する時代は終わり。7,480円の｢Mi Watch Lite｣がこれからのスタンダード

コーヒードリッパーおすすめ4選。ケトルやスケールなどハンドドリップコーヒーに必要なアイテムも一挙紹介

音はもちろんすばらしい！業界人向けスピーカー：パイオニア｢VM-80｣レビュー

Apple大盤振る舞い? ｢Sign In With Apple｣バグハントに驚きの10万ドル報奨金

｢Appleでサインイン｣にバグが

大事故につながる深刻度

脆弱性はすでにパッチ済み

あわせて読みたい

LATEST NEWS

GIZMODO REVIEWS