Zero-Day-Schwachstelle im "Mit Apple Anmelden"-Service behoben
Jetzt sind die Details zu einer vor Kurzem von Apple behobenen Zero-Day-Schwachstelle in der "Mit Apple Anmelden"-Login-Funktion bekannt geworden: Eine Schwachstelle hatte es einem Angreifer erlaubt, die Kontrolle über das Konto eines Benutzers zu übernehmen. Da "Mit Apple Anmelden" in Verbindung mit der Apple-ID steht, hätte das verheerende Folgen für Apple-Nutzer haben können.
Mit Apple Anmelden ist ...
... seit iOS 13 verfügbar
Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.
Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.
Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt. Siehe auch:
Mit Apple Anmelden ist ...
... seit iOS 13 verfügbar
Das hat jetzt der Entdecker der Schwachstelle, Bhavuk Jain, in einem Blog-Beitrag erläutert. Jain hatte im April seine Erkenntnisse an Apple übermittelt. Nun, da die Sicherheitslücke geschlossen ist, hat er alle Informationen dazu öffentlich gemacht.
Verfahren wurde jetzt abgeändert
Die neue Authentifizierungs-Methode "Anmeldung bei Apple" ist als datenschutzfreundlichere Alternative zu Website- und App-Anmeldesystemen vorgestellt worden, da keine weiteren persönlichen Daten übertragen werden müssen und ist im letzten Herbst mit iOS 13 gestartet. Apps und Dienste, die die Anmeldeoptionen mit Facebook- oder Google-Konten anbieten, können auf dem iPhone oder am Mac die Apple-Alternative nutzen.Jain erläuterte das Problem. Die Anmeldung bei Apple funktioniert entweder mit einem JSON Web Token (JWT) oder mit einem von Apples Servern generierten Code, wobei Letzterer dann zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Apple erzeugt zur Anmeldung ein JWT, das die E-Mail-ID des Nutzers enthält und von der Drittanbieter-Anwendung zur Anmeldung des Benutzers verwendet wird.
Jain entdeckte, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID anzufordern. Sobald die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, wird sie als gültig erachtet. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen Token erstellen und Zugang zum Konto des Opfers erhalten. Apple hat daher das Verfahren abgeändert, so dass die Schwachstelle nicht mehr vorhanden ist. Laut Untersuchung des Sicherheitsteams von Apple wurde die Schwachstelle aber bisher bei keinem bekannten Angriff genutzt. Siehe auch:
Kommentar abgeben
Netiquette beachten!
Apples Aktienkurs in Euro
Neue Apple-Bilder
Videos von und über Apple
-
Cavn Magnetic Power Bank: Starker Zusatz-Akku für iPhone & Co.
-
Einova Powerbar im Test: Powerbank-Multitalent für Apple-Geräte
-
Hello Tomorrow!: Erster Trailer zum Retro-Sci-Fi-Serienmix von Apple
-
HomePod 2: Apple zeigt im Video, was der smarte Lautsprecher kann
-
Apple stellt im Video das neue MacBook Pro und den Mac Mini vor
Neue Downloads zum Thema Apple
Beiträge aus dem Forum
-
IPhone Ortung verhindern.
ItMightBeDennis -
Kontextmenu bearbeiten
Brutschi -
Zur Leseliste hinzugefügt in iPad (6 gen) wo landen die Daten?
Stefan_der_held -
Office 2019 MAC Problem
MiyaGi -
Windows Computer vergleichbar Apple M1 Mini
Lewio82 -
Grafiktablett oder iPad
Kody -
Browser ähnlich Safari
XSaschaX -
Hilfe bei iPhone SE und Kalender aus MS 365
teddy4you -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
WhatsApp übertragen auf neues Iphone
Candlebox
Weiterführende Links
Das iPhone 11 im Preisvergleich
Jetzt als Amazon Blitzangebot
Ab 11:40 Uhr ![[Prozent Funktion] Smart Rolladenschalter Modul, Etersky Smart Rolladensteuerung, Wlan Rolladen Schalter, APP Steuerung Kompatibel mit Alexa Google Home, WiFi Zeitschaltuhr für Rolladenmotor Jalousien](https://i.wfcdn.de/amazon_images/?u=https%3A%2F%2Fm.media-amazon.com%2Fimages%2FI%2F515Lb2gQJjL._SY500_.jpg&h=8fd5d52e50dbce0)
[Prozent Funktion] Smart Rolladenschalter Modul, Etersky Smart Rolladensteuerung, Wlan Rolladen Schalter, APP Steuerung Kompatibel mit Alexa Google Home, WiFi Zeitschaltuhr für Rolladenmotor Jalousien
[Prozent Funktion] Smart Rolladenschalter Modul, Etersky Smart Rolladensteuerung, Wlan Rolladen Schalter, APP Steuerung Kompatibel mit Alexa Google Home, WiFi Zeitschaltuhr für Rolladenmotor Jalousien Original Amazon-Preis
22,99 €
Blitzangebot-Preis
19,54 €
Ersparnis zu Amazon 15% oder 3,45 €
Neue Nachrichten
- Dmitri Donskoi: Russland verschrottet das größte U-Boot der Welt
- Media Markt WSV: Die besten Technik-Schnäppchen im Überblick
- Philips Hue Iris: Smarte Tischleuchte bei Media Markt für nur 65 Euro
- Achtung Hobby-Händler: eBay & Co. müssen Finanzamt Meldung machen
- UK lehnt Activision-Deal vorerst ab, schlägt Call of Duty-Verkauf vor
- Günstiger Speaker: Media Markt verkauft JBL Charge 2 zum Bestpreis
- Fan baut Legend of Zelda in Minecraft nach - ohne einzige Modifikation
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon