Kritische Schwachstelle in Apples Anmeldedienst bringt Forscher 100.000 Dollar ein

Apple hat einem Sicherheitsforscher eine Prämie in Höhe von 100.000 Dollar ausgezahlt. Wie Hacker News berichtet, hatte Bhavuk Jain zuvor eine Anfälligkeit in Apples Anmeldedienst „Sign in with Apple“ entdeckt und gemeldet. Der Dienst erlaubt es Entwicklern, Nutzer ihrer Apps über deren Apple ID zu authentifizieren.

Das Unternehmen aus Cupertino hatte den Dienst eingeführt, um seinen Nutzern auf Websites und in Apps von Drittanbietern ein gewohntes Anmeldeverfahren zu bieten. Zudem kann Sign in with Apple auch die Privatsphäre schützen, da Apple kontrolliert, welche Daten an Dritte übermittelt werden.

Jain ist es allerdings gelungen, den Authentifizierungsmechanismus auszuhebeln. Als Folge war er in der Lage, die Kontrolle über ein Nutzerkonto bei einem Drittanbieter zu übernehmen, obwohl der nur die E-Mail-Adresse seiner Apple ID kannte.

Fehlerhaft war demnach der Umgang mit Bestätigungsanfragen auf der Client-Seite. Eine Authentifizierung sei über ein JSON Web Token (JWT) oder einen von einem Server generierten Code möglich, wie der Forscher in seinem Blog ausführt. JWT komme immer dann zum Einsatz, wenn sich ein Nutzer entscheide, bei der Anmeldung seine E-Mail-Adresse nicht preiszugeben.

„Ich fand heraus, dass ich JWTs für jede E-Mail-ID von Apple anfordern konnte, und als die Signatur dieser Tokens mit Apples öffentlichem Schlüssel verifiziert wurde, zeigten sie sich als gültig“, sagte Jain. „Das bedeutet, dass ein Angreifer eine JWT fälschen könnte, indem er eine beliebige E-Mail-ID damit verknüpft und Zugang zum Konto des Opfers erhält.“

Die Folgen dieser Schwachstelle stufte Jain als sehr schwerwiegend ein. Es sei eine vollständige Kompromittierung jedes Kontos eines Drittanbieters denkbar, dass mit einer Apple ID verknüpft sei. “ Viele Entwickler haben die Anmeldung mit Apple integriert, da sie für Anwendungen, die andere soziale Anmeldungen unterstützen, obligatorisch ist.“

Apple leitete dem Forscher zufolge eine Untersuchung ein. Eine Auswertung von Server-Logs soll ergeben haben, dass der Bug nicht ausgenutzt wurde. Da er den Fehler über das Apple Security Bounty Program meldete, erhielt er die fragliche Belohnung von 100.000 Dollar.