بنیاد OpenID: ورود با اپل آیدی اشکالات امنیتی جدی دارد

اخیرا بنیاد اوپن آ‌یدی (OpenID Foundation) نامه‌ای سرگشاده به کریگ فدریگی، مدیر بخش مهندسی نرم‌افزار اپل نوشته و گفته است استاندارد «Sign in with Apple» که قرار است در آینده‌ای نزدیک به اجرا درآید، شباهت‌های زیادی با «OpenID Connect» دارد؛ اما این دو استاندارد از نظر اهداف مربوط‌به توسعه، حفظ حریم خصوصی و امنیت کاربران به‌هیچ‌وجه با هم برابر نیستند. اوپن آیدی، با استفاده از SSO یا شناسایی یگانه (Single Sign-On) به‌عنوان روشی استاندارد برای احراز هویت کاربران برای ورود یا دسترسی به وب‌سایت‌ها یا اپلیکیشن‌ها شناخته می‌شود و نیاز آن‌ها را برای به‌یادسپردن نام کاربری و رمزهای عبور متعدد برای ورود به برنامه‌ها و سایت‌های مختلف برطرف می‌کند.

نامه‌ی مزبور با این جمله آغاز می‌شود:

بنیاد اوپن آ‌یدی، تلاش‌های اپل مبنی‌بر اجازه‌دادن به کاربرانش برای ورود با اپل آیدی به یک گوشی همراه شخص ثالث و اپلیکیشن‌های تحت وب با استفاده از OpenID Connect را می‌ستاید.

در ادامه‌ی نامه آمده است: «Connect یک پروتکل هویتی مدرن و بسیار پرکاربرد در OAuth 2.۰ است که ورود شخص ثالث به اپلیکیشن‌ها را ممکن می‌کند و به‌دست تعداد زیادی از شرکت‌ها و کارشناسان صنعتی در این بنیاد طراحی و توسعه یافته است.»

در نامه‌ی بنیاد اوپن آ‌یدی به این نکته اشاره شده است درعین‌حال که به نظر می‌رسد اپل در طراحی این قابلیت کاربردی توجه زیادی به ویژگی‌های Connect داشته، اما باید به این هم اهمیت داد که تفاوت‌های زیاد آن‌ها موجب کاهش موارد استفاده از سیستم اپل می‌شود و آن را در معرض تهدیدهای امنیتی و حریم خصوصی قرار می‌دهد. مثالی از این مورد، فقدان PKCE در نوع اعطای کد احراز هویت است که واقعا می‌تواند مردم را در معرض حمله‌های تزریق کد و بازپخش یا تکرار (replay attack) قرار بدهد.

همچنین گفته می‌شود این تفاوت‌های تأثیرگذار که باعث ایجاد دودستگی بین آن‌ها شده، «فشاری غیرضروری» روی دوش توسعه‌دهندگانی گذاشته است که با هردوی Connect و Sign in with Apple همکاری می‌کنند؛ این فشار به‌ویژه از زمانی‌ بیشتر شده که سازگاری بین کدهای اپل با نرم‌افزار OpenID Connect Relying Party از بین رفته است. در این نامه با گفتن این موضوع که Sign in with Apple با نرم‌افزار OpenID Connect Relying Party سازگار است، از اپل خواسته شده که با استفاده از ابزار تست مجوز کانکت (Open ID Connect Self Certification Test Suite) به این شکاف‌ها پاسخ بدهد و درنهایت به بنیاد اوپن آ‌یدی بپیوندند.

تست قابلیت جدید اپل در اواخر تابستان و پیش از عرضه‌ی iOS 13 در پاییز آینده آغاز خواهد شد. قرار است توجه فناوری ورود با اپل آیدی بیشتر روی حفاظت از حریم خصوصی کاربران معطوف باشد و بتوان آن را جایگزین دکمه‌های ورود فیسبوک، گوگل و توئیتر کرد؛ اما، کارشناسان اپل را به‌خاطر اجباری کردن پشتیبانی از این فناوری در صورت وجود گزینه‌های شخص ثالث دیگر برای ورود به سایت‌ها و اپلیکیشن‌ها مورد انتقاد قرار داده‌اند.