Kritische Schwachstelle in Apples Anmeldedienst bringt Forscher 100.000 Dollar ein

Apple hat einem Sicherheitsforscher eine Prämie in Höhe von 100.000 Dollar ausgezahlt. Wie Hacker News berichtet, hatte Bhavuk Jain zuvor eine Anfälligkeit in Apples Anmeldedienst „Sign in with Apple“ entdeckt und gemeldet. Der Dienst erlaubt es Entwicklern, Nutzer ihrer Apps über deren Apple ID zu authentifizieren.

Das Unternehmen aus Cupertino hatte den Dienst eingeführt, um seinen Nutzern auf Websites und in Apps von Drittanbietern ein gewohntes Anmeldeverfahren zu bieten. Zudem kann Sign in with Apple auch die Privatsphäre schützen, da Apple kontrolliert, welche Daten an Dritte übermittelt werden.

Jain ist es allerdings gelungen, den Authentifizierungsmechanismus auszuhebeln. Als Folge war er in der Lage, die Kontrolle über ein Nutzerkonto bei einem Drittanbieter zu übernehmen, obwohl der nur die E-Mail-Adresse seiner Apple ID kannte.

Fehlerhaft war demnach der Umgang mit Bestätigungsanfragen auf der Client-Seite. Eine Authentifizierung sei über ein JSON Web Token (JWT) oder einen von einem Server generierten Code möglich, wie der Forscher in seinem Blog ausführt. JWT komme immer dann zum Einsatz, wenn sich ein Nutzer entscheide, bei der Anmeldung seine E-Mail-Adresse nicht preiszugeben.

„Ich fand heraus, dass ich JWTs für jede E-Mail-ID von Apple anfordern konnte, und als die Signatur dieser Tokens mit Apples öffentlichem Schlüssel verifiziert wurde, zeigten sie sich als gültig“, sagte Jain. „Das bedeutet, dass ein Angreifer eine JWT fälschen könnte, indem er eine beliebige E-Mail-ID damit verknüpft und Zugang zum Konto des Opfers erhält.“

Die Folgen dieser Schwachstelle stufte Jain als sehr schwerwiegend ein. Es sei eine vollständige Kompromittierung jedes Kontos eines Drittanbieters denkbar, dass mit einer Apple ID verknüpft sei. “ Viele Entwickler haben die Anmeldung mit Apple integriert, da sie für Anwendungen, die andere soziale Anmeldungen unterstützen, obligatorisch ist.“

Apple leitete dem Forscher zufolge eine Untersuchung ein. Eine Auswertung von Server-Logs soll ergeben haben, dass der Bug nicht ausgenutzt wurde. Da er den Fehler über das Apple Security Bounty Program meldete, erhielt er die fragliche Belohnung von 100.000 Dollar.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

19 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

24 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago