• IT-Karriere:
  • Services:

Sign in with Apple: Hohe Belohnung für gefundene Sicherheitslücke

Apple hat eine kritische Sicherheitslücke geschlossen. Es ließen sich beliebige Nutzerkonten bei externen Diensten übernehmen.

Artikel veröffentlicht am , Anna Biselli
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen.
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen. (Bild: Nikolai Chernichenko/unsplash.com)

Apple hat im Rahmen seines Bug-Bounty-Programms 100.000 US-Dollar an den IT-Sicherheitsforscher Bhavuk Jain gezahlt. Er fand eine Lücke im Anmeldedienst "Sign in with Apple2, wie The Hacker News berichtet. Angreifer hätten sich bei Drittdiensten oder Apps mit der Identität beliebiger Nutzer authentifizieren können und den Account für diese Anwendung übernehmen können. Die Sicherheitslücke wurde mit dem aktuellen Sicherheitsupdate von Apple geschlossen.

Stellenmarkt
  1. KiKxxl GmbH, Osnabrück
  2. Metabowerke GmbH, Nürtingen

"Sign in with Apple" ermöglicht es Nutzern ähnlich wie die Anmeldedienste von Facebook oder Google, sich bei Diensten oder Apps einzuloggen, ohne extra Accounts erstellen zu müssen. Apple hat den Dienst vor etwa einem Jahr eingeführt und App-Anbieter aus seinem Store verpflichtet, Nutzern eine Anmeldung mit Apple-ID zu ermöglichen.

Laut Jain lag das Problem bei der Funktionsweise von Apples Authentifizierungsserver. Wollte sich ein Nutzer bei einem Drittanbieter anmelden, musste er sich zunächst in seinen Apple-Account einloggen und konnte dann von Apples Authentifizierungs-Server ein JSON Web Token (JWT) anfordern. Dieses Token schickte der Nutzer an die Anwendung, bei der er sich mit seiner Apple-ID anmelden wollte. Aber Apple soll nicht überprüft haben, für welche E-Mail-ID das Token angefordert wurde. So konnte sich Jain Tokens unter einer fremden Identität einschleusen.

"Ich bekam heraus, dass ich JWTs für jede E-Mail-ID von Apple anfordern konnte. Sobald die Signatur dieser Tokens mit Apples Public Key verifiziert wurde, wurden sie als gültig angezeigt", so Jain The Hacker News.

Das gelang Jain auch bei Nutzern, die ihre E-Mail-ID gegenüber dem Dienst verbargen, da Apple in diesen Fällen eine Ersatz-Relay-ID generiert, schreibt er auf seinem Blog. In den Server-Logs konnte Apple offenbar keinen Fall finden, in dem die Lücke ausgenutzt wurde. Bei externen Anbietern mit zusätzlichen Sicherheitsmaßnahmen wie einer Zwei-Faktor-Authentifizierung hätte Jains Methode außerdem nicht funktioniert.

Erst im Dezember 2019 hatte der Konzern sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Die maximale Belohnung für gefundene Lücken liegt bei 1,5 Millionen US-Dollar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 14,99€

Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Bill Gates: Mit Technik gegen die Klimakatastrophe
Bill Gates
Mit Technik gegen die Klimakatastrophe

Bill Gates' Buch über die Bekämpfung des Klimawandels hat Schwächen, es lohnt sich aber trotzdem, dem Microsoft-Gründer zuzuhören.
Eine Rezension von Hanno Böck

  1. Microsoft-Gründer Bill Gates startet Podcast

Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz

      •  /