"Mit Apple anmelden": Sicherheitslücke erlaubte Übernahme von Nutzerkonten

Als herausragendes neues Sicherheitsfeature präsentierte Apple vor knapp einem Jahr im Rahmen der letzten World Wide Developers Conference (WWDC) den hauseigenen Dienst "Mit Apple anmelden" ("Sign in with Apple"). Der Service ermöglicht es den Nutzern, ähnlich wie entsprechende Angebote von Google oder Facebook, sich nur mit der eigenen Apple-ID etwa bei Internetanbietern zu registrieren, ohne weitere persönliche Daten wie beispielsweise eine E-Mail-Adresse angeben zu müssen. Der iPhone-Konzern ist derart überzeugt von diesem Service, dass er sämtliche App-Entwickler, welche etwa Googles Login-Dienst anbieten, auch zur Unterstützung von "Mit Apple anmelden" verpflichtet.


Angreifer hätten Accounts übernehmen können
Wer "Mit Apple anmelden" nutzte, lief allerdings bislang Gefahr, dass Angreifer eines oder gleich mehrere seiner Nutzerkonten bei Drittanbietern wie etwa WordPress, IFTTT oder Tidal übernehmen konnten. Der Sicherheitsforscher Bhavuk Jain entdeckte nämlich bereits vor einigen Wochen eine in Apples Login-Service schlummernde Sicherheitslücke. Diese erlaubte es Hackern, sich mit einer beliebigen Apple-ID bei einem Dienst oder in einer App anzumelden, ohne dass der Benutzer korrekt authentifiziert wurde. Jain informierte Apple unmittelbar nach der Entdeckung über die Schwachstelle.

Apple hat die Lücke umgehend geschlossen
Apple hat die Lücke mittlerweile geschlossen und dem Sicherheitsforscher eine Belohnung in Höhe von 100.000 US-Dollar gezahlt. Jain veröffentlichte jetzt die technischen Einzelheiten der Schwachstelle zusammen mit einer kurzen Erläuterung der Funktionsweise von "Mit Apple anmelden". Ihm zufolge lag der Fehler darin begründet, dass Apples Service beim Austausch der erforderlichen sogenannten JSON Web Tokens nicht überprüfte, ob die darin enthaltene Identität des jeweiligen Nutzers mit dem ursprünglich authentifizierten User übereinstimmte. Der Sicherheitsforscher konnte dadurch die Identitäten möglicher Opfer für einen Angriff nutzen und sich so Zugriff auf die Konten verschaffen. Bei Drittanbietern, welche zusätzlich eine Zwei-Faktor-Authentifizierung anbieten, ließ sich die Schwachstelle Jain zufolge nicht ausnutzen. Nach Angaben des iPhone-Konzerns ergab eine Überprüfung aller Server-Logs, dass die Sicherheitslücke vor der Behebung des Fehlers in keinem einzigen Fall ausgenutzt wurde.

Kommentare

lautsprecher03.06.20 14:59
Spielt dieser Dienst irgendwo eine Rolle? Ich würde ihn (nach Behebung der Lücke) eigentlich gerne nutzen, habe aber noch keine Site gesehen, die ihn anbietet
+1
mk27ja95
mk27ja9503.06.20 15:36
Doch. Alleine gestern 2. aber stimmt bisher haben sich alle zurückgehalten
+2
sambuca2303.06.20 16:41
Soeben auf dem iPad die Apps Kayak und Skyscanner installiert, da wurde mir das angeboten. Bei Skyscanner sogar mit der optimalen anonymen eMail Wahl.

Wahrscheinlich eher in Apps verbreitet als bei Webdiensten.
+2
orlitravel03.06.20 22:38
iOS 13 ist und bleibt ein Jahr nach Veröffentlichung eine Katastrophe. Noch nie hatten wir eine so dermaßen schlechte Version. Eine Bug/ Sicherheitslücke/ Panne/ fehlende Funktion nach der anderen. Der Clou war ja, dass man nun seit langem gar es geschafft hat das gesamte System zu jailbraken. Ich bin froh, wenn iOS 14 herauskommt und hoffentlich wieder eine bessere Version wird.
+1
feel_x04.06.20 09:53
Irgendwo habe ich mal gelesen, dass "Mit Apple anmelden" für Entwickler verpflichtend einzubauen ist, wenn es auch "mit Facebook anmelden" und "mit Google anmelden" gibt.. ab welchem Datum gilt das denn?
Wird langsam mal Zeit, dass das verpflichtend für die Zulassung zum App Store ist.
+2
Saxxx04.06.20 09:59
Solche Typen, wie den Bhavuk Jain kann man gar nicht genug bezahlen. Gut, dass es so was gibt.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.