Oligur

• ニュース

「Appleでサインイン」のセキュリティ脆弱性により、ハッカーがこの機能を使ってアクセスしたユーザーアカウントを完全に乗っ取ることが可能になる可能性がありました。幸いなことに、このバグはインドを拠点とするセキュリティ研究者のBhavuk Jain氏によって発見されました。

週末に投稿されたブログ記事で、ジェイン氏は4月にAppleに脆弱性を報告したと述べています。その後、脆弱性は修正されました。Appleのバグ報奨金プログラムのおかげで、ジェイン氏はクパチーノに本社を置くテクノロジー大手Appleから感謝の意として10万ドルを受け取りました。

このバグは、「Appleでサインイン」用に生成されるウェブトークンに関係していました。ジェイン氏は、この脆弱性により、誰でもAppleに任意のメールIDのトークンをリクエストできるようになったと指摘しました。そして、これらのトークンは本人確認用のトークンとして利用される可能性があります。攻撃者は、トークンをメールIDに紐付けることで偽造し、被害者のアカウントにアクセスできるようになります。

「この脆弱性の影響は極めて深刻で、アカウントの完全な乗っ取りが可能になる可能性がありました」と、Bhavuk Jain氏は記しています。「他のソーシャルログインをサポートするアプリケーションでは必須となっているため、多くの開発者がSign in with Appleを統合しています。Sign in with Appleを採用しているアプリケーションとしては、Dropbox、Spotify、Airbnb、Giphy（現在はFacebookに買収されています）などが挙げられます。これらのアプリケーションはテストされていませんが、ユーザー認証時に他のセキュリティ対策が講じられていなかった場合、アカウントの完全な乗っ取りの脆弱性があった可能性があります。」

Jain氏によれば、Appleは調査を実施し、この「Appleでサインイン」のバグによりアカウントが侵害されたことはないと判断した。

Appleのバグ報奨金制度

Appleは昨夏、ラスベガスで開催されたBlack Hatカンファレンスで、改良された新しいバグ報奨金プログラムを発表しました。Appleは、自社のソフトウェアに発見された脆弱性に対し、最大100万ドルを支払います。Appleが支払う金額は、発見された問題の深刻度に応じて決定されます。例えば、100万ドルの報奨金を得るには、ゼロクリックでフルチェーンのカーネルコード実行攻撃を発見する必要があります。一方、50万ドルは、ユーザーによる操作を一切必要としないネットワーク攻撃です。ソフトウェアのリリース前に脆弱性が発見された場合は、50%のボーナスが支払われます。

「Appleでサインイン」はiOS 13で導入された機能です。プライバシーを重視した（そしておそらくバグのない）ログインシステムで、AppleはFacebookなどのサードパーティのログインサービスを使用するすべてのアプリでのサポートを義務付けています。