2511507

Apple zahlt 100 000$ Prämie für Bug in "Sign in with Apple"

06.06.2020 | 08:36 Uhr | Stephan Wiesend

Eine Sicherheitslücke in Apples Anmeldesystem „Anmelden mit Apple“ ermöglichte Angriffe auf Drittanbieter-Accounts.

Will man sich für einen neuen Webshop oder Webdienst wie Dropbox oder Airbnb anmelden, ersparen Dienste wie „Anmelden mit Google“ und „Anmelden mit Apple“ das Ausfüllen von Anmeldeformularen. Der noch relativ neue Apple-Dienst „Anmelden mit Apple“ bzw. „Sign in with Apple“ hatte aber eine bisher unbekannte Sicherheitslücke: Für den Entdecker Bhavuk Jain zahlte sich diese Entdeckung aus, er erhielt im Rahmen von Apples Security Bounty-Programm eine Prämie von 100 000 US-Dollar.

Der Entwickler hatte den Fehler im April entdeckt und Apple davon benachrichtigt. Nachdem Apple den Fehler behoben hatte, stellte Jain den Fehler jetzt ausführlich vor. Ein Fehler bei der Kommunikation mit Apples Servern machte es möglich, dass ein Angreifer Zugriff auf den Drittaccount erhalten konnte – nur mit Kenntnis einer E-Mail-Adresse.

Technischer Hintergrund

Bei der Nutzung von „Anmelden mit Apple“ kann der Anwender sich entscheiden, ob er seine E-Mail-Adresse an den Drittanbieter (z.B. Airbnb) übermitteln will oder nicht. Zur Überprüfung das Anmelders wird nun eine Anfrage an einen Apple-Server gestellt, dieser antwortet entweder mit einem sogenannten JSON Web Token (JWT) oder einen vom Server generierten Code. Danach ist der Zugriff auf den Dienst oder eine App möglich.

Jain fand aber heraus, dass er für jede gültige E-Mail-ID einen solchen JWT bei Apple anfordern kann. Kennt ein Anwender die E-Mail-Adresse seines Opfers, könnte er so den Zugriff auf dessen Account beim Drittanbieter erhalten. Allerdings setzt dies voraus, dass dieser Account nicht durch zusätzliche Schutzvorkehrungen geschützt ist (etwa per 2FA.)

Laut Entwickler hat Apple bereits überprüft, ob diese Schwachstelle ausgenutzt wurde. Laut dem Unternehmen soll dies aber bisher glücklicherweise nicht vorgekommen sein.

Macwelt Marktplatz

2511507