Zero-Day-Schwachstelle im "Mit Apple Anmelden"-Service behoben
Jetzt sind die Details zu einer vor Kurzem von Apple behobenen Zero-Day-Schwachstelle in der "Mit Apple Anmelden"-Login-Funktion bekannt geworden: Eine Schwachstelle hatte es einem Angreifer erlaubt, die Kontrolle über das Konto eines Benutzers zu übernehmen. Da "Mit Apple Anmelden" in Verbindung mit der Apple-ID steht, hätte das verheerende Folgen für Apple-Nutzer haben können.
Mit Apple Anmelden ist ...
... seit iOS 13 verfügbar
Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.
Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.
Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt. Siehe auch:
Mit Apple Anmelden ist ...
... seit iOS 13 verfügbar
Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.
Verfahren wurde jetzt abgeändert
Die neue Authentifizierungs-Methode "Anmeldung bei Apple" ist als datenschutzfreundlichere Alternative zu Website- und App-Anmeldesystemen vorgestellt worden, da keine weiteren persönlichen Daten übertragen werden müssen und ist im letzten Herbst mit iOS 13 gestartet. Apps und Dienste, die die Anmeldeoptionen mit Facebook- oder Google-Konten anbieten, können auf dem iPhone oder am Mac die Apple-Alternative nutzen.Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.
Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt. Siehe auch:
Kommentar abgeben
Netiquette beachten!
Neue Apple-Bilder
Videos von und über Apple
-
Foundation: Das Sci-Fi-Epos startet im September, neuer Trailer
-
Apple AirTag getestet - So nützlich ist das Tracking-Gadget im Alltag
-
Ted Lasso - Apple zeigt den deutschen Trailer zu Staffel 2
-
Ted Lasso, Morning Show & Co: Die Sommer-Neustarts bei Apple TV+
-
Infiltration - Neue Apple-Serie zeigt eine globale Alien-Invasion
Neue Downloads zum Thema Apple
Beiträge aus dem Forum
-
Ipad Mini SmartCover Leder
Brutschi -
iPhone 7 Plus Leistungsverlust wg. Akku?
DanielDuesentrieb -
VPN (IPad) & RemoteDesktop über mobile Daten ja, WLAN nein
Stef4n -
Apple Mail in Outlook 365
DanielDuesentrieb -
Frage zur Apple ID
Msell73 -
ITunes-Store Musik
MiezMau -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom -
IPhone SE Bild Dateien sind 3fach vorhanden und müllen Handy zu
MiezMau
Weiterführende Links
Das iPhone 11 im Preisvergleich
Jetzt als Amazon Blitzangebot
Ab 00:10 Uhr 
Fitueyes TV Bodenständer Serie-S mit Eisenbasis Unzerbrechlich TV Standfuss Höhenverstellbar Schwenkbar für 32-65-Zoll Fernseher bis zu 40kg Max.Vesa 400*600
Fitueyes TV Bodenständer Serie-S mit Eisenbasis Unzerbrechlich TV Standfuss Höhenverstellbar Schwenkbar für 32-65-Zoll Fernseher bis zu 40kg Max.Vesa 400*600 Original Amazon-Preis
79,90 €
Blitzangebot-Preis
67,90 €
Ersparnis zu Amazon 15% oder 12 €
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Microsoft startet erste Beta von Windows 11 im Insider Programm
- MyFritz Android-App bringt Heimnetzwerkfunktion (VPN) wieder für alle
- Edge bekommt weitere Verbesserungen für die "schlafenden Tabs"
- Outlook im Web startet Seite-an-Seite-Ansicht für Kalender und ToDo
- Netflix, Google und Facebook führen eine Corona-Impfpflicht ein
- Amazon Kindle: Ältere E-Book-Reader bekommen nach 3G-Aus Probleme
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Affiliate-Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon