Zero-Day-Schwachstelle im "Mit Apple Anmelden"-Service behoben
100.000 Dollar hat der Entwickler und Sicherheitsforscher Bhavuk Jain von Apple erhalten, nachdem er eine schwere Sicherheitslücke im Anmeldedienst "Mit Apple Anmelden" gemeldet hatte. Apple hat den Fehler mittlerweile beseitigen können.
Jetzt sind die Details zu einer vor Kurzem von Apple behobenen Zero-Day-Schwachstelle in der "Mit Apple Anmelden"-Login-Funktion bekannt geworden: Eine Schwachstelle hatte es einem Angreifer erlaubt, die Kontrolle über das Konto eines Benutzers zu übernehmen. Da "Mit Apple Anmelden" in Verbindung mit der Apple-ID steht, hätte das verheerende Folgen für Apple-Nutzer haben können.
Mit Apple Anmelden ist ...
... seit iOS 13 verfügbar
Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.
Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.
Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt. Siehe auch:
Mit Apple Anmelden ist ...
... seit iOS 13 verfügbar
Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.
Verfahren wurde jetzt abgeändert
Die neue Authentifizierungs-Methode "Anmeldung bei Apple" ist als datenschutzfreundlichere Alternative zu Website- und App-Anmeldesystemen vorgestellt worden, da keine weiteren persönlichen Daten übertragen werden müssen und ist im letzten Herbst mit iOS 13 gestartet. Apps und Dienste, die die Anmeldeoptionen mit Facebook- oder Google-Konten anbieten, können auf dem iPhone oder am Mac die Apple-Alternative nutzen.Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.
Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt. Siehe auch:
Thema:
Apples Aktienkurs in Euro
Videos von und über Apple
-
Silo: Apple zeigt den offiziellen Trailer zu Staffel 3 der Sci-Fi-Serie
-
Tipps zum Tablet: Nützliches Zubehör für iPad 10 und iPad 11 im Test
-
Getestet: Wie stark unterscheiden sich MacBook Neo und MacBook Pro?
-
Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
-
Ted Lasso: Apple TV zeigt ersten Teaser zu Staffel 4, Start im August
Neue Downloads zum Thema Apple
Beiträge aus dem Forum
-
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
AppleTV
MiezMau -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
iPhone 13 + Smartwatch (keine Apple Watch)
Bilaltore -
Win-Viren am Mac prüfen?
mondayand0 -
IPhone Ortung verhindern.
PC.Nutzer -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
Windows Computer vergleichbar Apple M1 Mini
Lewio82
Weiterführende Links
iPhone 17 Pro im Preisvergleich
Amazon.de 
Joybuy 
Galaxus 
Netto Marken-Discount 
Mindfactory Neue Nachrichten
- Nur für 3 Stunden: Riesiger 85" Mini-LED-TV bei Media Markt im Angebot
- Zero Trust: Windows Server startet verschlüsselte Namensauflösung
- Nvidia GPU RTX Pro 6000: Preis steigt um krasse 55 Prozent
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon