セキュリティ研究者のバヴク・ジェイン氏は4月に「Sign In with Apple」のゼロデイ脆弱性を発見しました。Appleはすでに修正パッチをリリースしていますが、詳細は最近になって明らかになりました。ジェイン氏はAppleセキュリティバウンティプログラムの一環として10万ドルの賞金を獲得しました。

Appleでサインインゼロデイ

この脆弱性が悪用された場合、攻撃者はApple IDを持っていなくても、ウェブサイト上の「Appleでサインイン」アカウントを乗っ取ることができる可能性があります。「Appleでサインイン」は、Appleのサーバーによって生成されたコード、またはJSON Web Token（JWT）のいずれかに依存しています。

Appleでサインインを使用してウェブサイトやアプリでアカウントを作成する際、メールアドレスを非表示にするオプションが表示される場合があります。メールアドレスを非表示にすると、Appleはプライベートリレーを作成し、そのユーザーの実際のアドレスにメールを転送します。Appleは、サードパーティが使用するメールIDを含むJWTを作成します。

Appleの任意のメールIDに対してJWTをリクエストできることが分かりました。これらのトークンの署名をAppleの公開鍵で検証すると、有効であることが示されました。つまり、攻撃者は任意のメールIDをJWTにリンクさせることでJWTを偽造し、被害者のアカウントにアクセスできるようになるということです。

Apple によるこの問題の調査では、この攻撃が実際に悪用された例は見つかりませんでした。