Zero-Day-Schwachstelle im "Mit Apple Anmelden"-Service behoben

Apple, WWDC 2019, Sign in with Apple, Apple-Login, Apple-Anmeldung Bildquelle: Apple
100.000 Dollar hat der Entwickler und Sicherheitsforscher Bhavuk Jain von Apple erhalten, nachdem er eine schwere Sicherheitslücke im An­mel­de­dienst "Mit Apple Anmelden" gemeldet hatte. Apple hat den Fehler mitt­ler­weile beseitigen können. Jetzt sind die Details zu einer vor Kurzem von Apple behobenen Zero-Day-Schwachstelle in der "Mit Apple Anmelden"-Login-Funktion bekannt geworden: Eine Schwachstelle hatte es einem Angreifer erlaubt, die Kontrolle über das Konto eines Benutzers zu übernehmen. Da "Mit Apple Anmelden" in Verbindung mit der Apple-ID steht, hätte das verheerende Folgen für Apple-Nutzer haben können.
Sign-in with AppleMit Apple Anmelden ist ... Sign-in with Apple... seit iOS 13 verfügbar
Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.

Verfahren wurde jetzt abgeändert

Die neue Authentifizierungs-Methode "An­meldung bei Apple" ist als datenschutz­freund­lichere Alternative zu Website- und App-Anmeldesystemen vorgestellt worden, da keine weiteren persönlichen Daten übertragen werden müssen und ist im letzten Herbst mit iOS 13 gestartet. Apps und Dienste, die die Anmeldeoptionen mit Facebook- oder Google-Konten anbieten, können auf dem iPhone oder am Mac die Apple-Alternative nutzen.

Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.

Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt. Siehe auch:
Apple, WWDC 2019, Sign in with Apple, Apple-Login, Apple-Anmeldung Apple, WWDC 2019, Sign in with Apple, Apple-Login, Apple-Anmeldung Apple
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Apples Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Jetzt als Amazon Blitzangebot

Ab 00:05 Uhr Lightning USB 3.0 Speicherstick,Speicher-Stick,USB-Stick,Speichererweiterung für iPhoneLightning USB 3.0 Speicherstick,Speicher-Stick,USB-Stick,Speichererweiterung für iPhone
Original Amazon-Preis
28,99
Im Preisvergleich ab
?
Blitzangebot-Preis
24,64
Ersparnis zu Amazon 15% oder 4,35

Tipp einsenden