• IT-Karriere:
  • Services:

Sign in with Apple: Hohe Belohnung für gefundene Sicherheitslücke

Apple hat eine kritische Sicherheitslücke geschlossen. Es ließen sich beliebige Nutzerkonten bei externen Diensten übernehmen.

Artikel veröffentlicht am , Anna Biselli
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen.
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen. (Bild: Nikolai Chernichenko/unsplash.com)

Apple hat im Rahmen seines Bug-Bounty-Programms 100.000 US-Dollar an den IT-Sicherheitsforscher Bhavuk Jain gezahlt. Er fand eine Lücke im Anmeldedienst "Sign in with Apple2, wie The Hacker News berichtet. Angreifer hätten sich bei Drittdiensten oder Apps mit der Identität beliebiger Nutzer authentifizieren können und den Account für diese Anwendung übernehmen können. Die Sicherheitslücke wurde mit dem aktuellen Sicherheitsupdate von Apple geschlossen.

Stellenmarkt
  1. Josef Heuel GmbH, Meinerzhagen
  2. dmTECH GmbH, Karlsruhe

"Sign in with Apple" ermöglicht es Nutzern ähnlich wie die Anmeldedienste von Facebook oder Google, sich bei Diensten oder Apps einzuloggen, ohne extra Accounts erstellen zu müssen. Apple hat den Dienst vor etwa einem Jahr eingeführt und App-Anbieter aus seinem Store verpflichtet, Nutzern eine Anmeldung mit Apple-ID zu ermöglichen.

Laut Jain lag das Problem bei der Funktionsweise von Apples Authentifizierungsserver. Wollte sich ein Nutzer bei einem Drittanbieter anmelden, musste er sich zunächst in seinen Apple-Account einloggen und konnte dann von Apples Authentifizierungs-Server ein JSON Web Token (JWT) anfordern. Dieses Token schickte der Nutzer an die Anwendung, bei der er sich mit seiner Apple-ID anmelden wollte. Aber Apple soll nicht überprüft haben, für welche E-Mail-ID das Token angefordert wurde. So konnte sich Jain Tokens unter einer fremden Identität einschleusen.

"Ich bekam heraus, dass ich JWTs für jede E-Mail-ID von Apple anfordern konnte. Sobald die Signatur dieser Tokens mit Apples Public Key verifiziert wurde, wurden sie als gültig angezeigt", so Jain The Hacker News.

Das gelang Jain auch bei Nutzern, die ihre E-Mail-ID gegenüber dem Dienst verbargen, da Apple in diesen Fällen eine Ersatz-Relay-ID generiert, schreibt er auf seinem Blog. In den Server-Logs konnte Apple offenbar keinen Fall finden, in dem die Lücke ausgenutzt wurde. Bei externen Anbietern mit zusätzlichen Sicherheitsmaßnahmen wie einer Zwei-Faktor-Authentifizierung hätte Jains Methode außerdem nicht funktioniert.

Erst im Dezember 2019 hatte der Konzern sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Die maximale Belohnung für gefundene Lücken liegt bei 1,5 Millionen US-Dollar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 46,99€
  2. 4,99€
  3. (-44%) 27,99€

Folgen Sie uns
       


IBM - von der Lochkarte zum Quantencomputer (Golem Geschichte)

Golem.de erzählt die über 100-jährige Geschichte von Big Blue im Video.

IBM - von der Lochkarte zum Quantencomputer (Golem Geschichte) Video aufrufen
    •  /