Sign in with Apple: Hohe Belohnung für gefundene Sicherheitslücke

Apple hat eine kritische Sicherheitslücke geschlossen. Es ließen sich beliebige Nutzerkonten bei externen Diensten übernehmen.

Artikel veröffentlicht am , Anna Biselli
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen.
Bhavuk Jain hat Apples Anmeldedienst auseinandergenommen. (Bild: Nikolai Chernichenko/unsplash.com)

Apple hat im Rahmen seines Bug-Bounty-Programms 100.000 US-Dollar an den IT-Sicherheitsforscher Bhavuk Jain gezahlt. Er fand eine Lücke im Anmeldedienst "Sign in with Apple2, wie The Hacker News berichtet. Angreifer hätten sich bei Drittdiensten oder Apps mit der Identität beliebiger Nutzer authentifizieren können und den Account für diese Anwendung übernehmen können. Die Sicherheitslücke wurde mit dem aktuellen Sicherheitsupdate von Apple geschlossen.

Stellenmarkt
  1. Fullstack-Entwickler*in Dokumentenmanagement
    Atruvia AG, Karlsruhe, München, Münster
  2. Specialist (m/w/d) Software Support 3rd Level
    Dürr Systems AG, Bietigheim-Bissingen
Detailsuche

"Sign in with Apple" ermöglicht es Nutzern ähnlich wie die Anmeldedienste von Facebook oder Google, sich bei Diensten oder Apps einzuloggen, ohne extra Accounts erstellen zu müssen. Apple hat den Dienst vor etwa einem Jahr eingeführt und App-Anbieter aus seinem Store verpflichtet, Nutzern eine Anmeldung mit Apple-ID zu ermöglichen.

Laut Jain lag das Problem bei der Funktionsweise von Apples Authentifizierungsserver. Wollte sich ein Nutzer bei einem Drittanbieter anmelden, musste er sich zunächst in seinen Apple-Account einloggen und konnte dann von Apples Authentifizierungs-Server ein JSON Web Token (JWT) anfordern. Dieses Token schickte der Nutzer an die Anwendung, bei der er sich mit seiner Apple-ID anmelden wollte. Aber Apple soll nicht überprüft haben, für welche E-Mail-ID das Token angefordert wurde. So konnte sich Jain Tokens unter einer fremden Identität einschleusen.

"Ich bekam heraus, dass ich JWTs für jede E-Mail-ID von Apple anfordern konnte. Sobald die Signatur dieser Tokens mit Apples Public Key verifiziert wurde, wurden sie als gültig angezeigt", so Jain The Hacker News.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Das gelang Jain auch bei Nutzern, die ihre E-Mail-ID gegenüber dem Dienst verbargen, da Apple in diesen Fällen eine Ersatz-Relay-ID generiert, schreibt er auf seinem Blog. In den Server-Logs konnte Apple offenbar keinen Fall finden, in dem die Lücke ausgenutzt wurde. Bei externen Anbietern mit zusätzlichen Sicherheitsmaßnahmen wie einer Zwei-Faktor-Authentifizierung hätte Jains Methode außerdem nicht funktioniert.

Erst im Dezember 2019 hatte der Konzern sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Die maximale Belohnung für gefundene Lücken liegt bei 1,5 Millionen US-Dollar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Pixel 6 und 6 Pro im Test
Google hat es endlich geschafft

Das Pixel 6 und Pixel 6 Pro werden endlich Googles Rang als Android-Macher gerecht: Die Smartphones bieten starke Hardware und sinnvolle Software.
Ein Test von Tobias Költzsch

Pixel 6 und 6 Pro im Test: Google hat es endlich geschafft
Artikel
  1. Apple-Software-Updates: iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar
    Apple-Software-Updates
    iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar

    Die ersten größeren Aktualisierungen für iPhone, iPad, Apple Watch und Apple TV sind da. Wer das iPhone 13 verwendet, profitiert besonders.

  2. Desktop-Betriebssystem: Apple MacOS Monterey mit neuem Safari und Fokus-Funktion
    Desktop-Betriebssystem
    Apple MacOS Monterey mit neuem Safari und Fokus-Funktion

    Apple hat die finale Version seines Mac-Betriebssystems MacOS Monterey veröffentlicht. Dabei sind ein neuer Safari-Browser und eine Konzentrationsfunktion.

  3. 20 Jahre Windows XP: Der letzte XP-Fan
    20 Jahre Windows XP
    Der letzte XP-Fan

    Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
    Ein Interview von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • Alternate (u. a. Apacer 1TB SATA 86,90€ & Team Group 1TB PCIe 4.0 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Halloween Sale bei Gamesplanet • Smart Home von Eufy günstiger [Werbung]
    •  /