X

Zero-Day-Schwachstelle im "Mit Apple Anmelden"-Service behoben

100.000 Dollar hat der Entwickler und Sicherheitsforscher Bhavuk Jain von Apple erhalten, nachdem er eine schwere Sicherheitslücke im An­mel­de­dienst "Mit Apple Anmelden" gemeldet hatte. Apple hat den Fehler mitt­ler­weile beseitigen können.
Apple
01.06.2020  09:11 Uhr
Jetzt sind die Details zu einer vor Kurzem von Apple behobenen Zero-Day-Schwachstelle in der "Mit Apple Anmelden"-Login-Funktion bekannt geworden: Eine Schwachstelle hatte es einem Angreifer erlaubt, die Kontrolle über das Konto eines Benutzers zu übernehmen. Da "Mit Apple Anmelden" in Verbindung mit der Apple-ID steht, hätte das verheerende Folgen für Apple-Nutzer haben können.
Sign-in with Apple
Mit Apple Anmelden ist ...


Sign-in with Apple
... seit iOS 13 verfügbar

Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.

Verfahren wurde jetzt abgeändert

Die neue Authentifizierungs-Methode "An­meldung bei Apple" ist als datenschutz­freund­lichere Alternative zu Website- und App-Anmeldesystemen vorgestellt worden, da keine weiteren persönlichen Daten übertragen werden müssen und ist im letzten Herbst mit iOS 13 gestartet. Apps und Dienste, die die Anmeldeoptionen mit Facebook- oder Google-Konten anbieten, können auf dem iPhone oder am Mac die Apple-Alternative nutzen.

Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.

Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt.
Verwandte Themen
Apple
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture