Sign in with Apple: Hohe Belohnung für gefundene Sicherheitslücke

Apple hat eine kritische Sicherheitslücke geschlossen. Es ließen sich beliebige Nutzerkonten bei externen Diensten übernehmen.

Artikel veröffentlicht am , Anna Biselli
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen.
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen. (Bild: Nikolai Chernichenko/unsplash.com)

Apple hat im Rahmen seines Bug-Bounty-Programms 100.000 US-Dollar an den IT-Sicherheitsforscher Bhavuk Jain gezahlt. Er fand eine Lücke im Anmeldedienst "Sign in with Apple2, wie The Hacker News berichtet. Angreifer hätten sich bei Drittdiensten oder Apps mit der Identität beliebiger Nutzer authentifizieren können und den Account für diese Anwendung übernehmen können. Die Sicherheitslücke wurde mit dem aktuellen Sicherheitsupdate von Apple geschlossen.

Stellenmarkt
  1. IT-Architekt MEMCM / SCCM (w/m/d)
    Dataport, verschiedene Standorte
  2. Forschungsreferent*in (m/w/d) im Bereich Forschungsdatenmanagement, Schwerpunkt technische ... (m/w/d)
    HAWK Hochschule für angewandte Wissenschaft und Kunst, Göttingen
Detailsuche

"Sign in with Apple" ermöglicht es Nutzern ähnlich wie die Anmeldedienste von Facebook oder Google, sich bei Diensten oder Apps einzuloggen, ohne extra Accounts erstellen zu müssen. Apple hat den Dienst vor etwa einem Jahr eingeführt und App-Anbieter aus seinem Store verpflichtet, Nutzern eine Anmeldung mit Apple-ID zu ermöglichen.

Laut Jain lag das Problem bei der Funktionsweise von Apples Authentifizierungsserver. Wollte sich ein Nutzer bei einem Drittanbieter anmelden, musste er sich zunächst in seinen Apple-Account einloggen und konnte dann von Apples Authentifizierungs-Server ein JSON Web Token (JWT) anfordern. Dieses Token schickte der Nutzer an die Anwendung, bei der er sich mit seiner Apple-ID anmelden wollte. Aber Apple soll nicht überprüft haben, für welche E-Mail-ID das Token angefordert wurde. So konnte sich Jain Tokens unter einer fremden Identität einschleusen.

"Ich bekam heraus, dass ich JWTs für jede E-Mail-ID von Apple anfordern konnte. Sobald die Signatur dieser Tokens mit Apples Public Key verifiziert wurde, wurden sie als gültig angezeigt", so Jain The Hacker News.

Golem Karrierewelt
  1. IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
    10.-12.10.2022, Virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
Weitere IT-Trainings

Das gelang Jain auch bei Nutzern, die ihre E-Mail-ID gegenüber dem Dienst verbargen, da Apple in diesen Fällen eine Ersatz-Relay-ID generiert, schreibt er auf seinem Blog. In den Server-Logs konnte Apple offenbar keinen Fall finden, in dem die Lücke ausgenutzt wurde. Bei externen Anbietern mit zusätzlichen Sicherheitsmaßnahmen wie einer Zwei-Faktor-Authentifizierung hätte Jains Methode außerdem nicht funktioniert.

Erst im Dezember 2019 hatte der Konzern sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Die maximale Belohnung für gefundene Lücken liegt bei 1,5 Millionen US-Dollar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Für 44 Milliarden US-Dollar
Musk will Twitter nun doch übernehmen

Tesla-Chef Elon Musk ist nun doch bereit, Twitter für den ursprünglich vereinbarten Preis zu kaufen. Offenbar will er einen Prozess vermeiden.

Für 44 Milliarden US-Dollar: Musk will Twitter nun doch übernehmen
Artikel
  1. Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
    Die große Umfrage
    Das sind Deutschlands beste IT-Arbeitgeber 2023

    Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Elektromobilität: Sixt bestellt 100.000 Elektroautos bei BYD
    Elektromobilität
    Sixt bestellt 100.000 Elektroautos bei BYD

    Der Autovermieter Sixt macht Ernst mit der Umstellung seiner Flotte auf Elektroautos.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /