2666312

Wie iOS 16 mit Captchas auf Webseiten und in Apps umgeht

21.06.2022 | 10:10 Uhr | Halyna Kubiv

In iOS 16 und macOS Ventura haben Apple-Ingenieure einen neue Methode vorgestellt, wie sich ein Nutzer auf einer Seite anmelden kann.

Ab iOS 16 und macOS Ventura werden die Nutzer und Nutzerinnen deutlich seltener mit den Captcha-Angaben konfrontiert (via Macrumors ). Apple bereitet stattdessen eine neue Verifikationsmethode vor, die komplett im Hintergrund ablĂ€uft, und keine wichtigen Daten an Server-Betreiber oder Zertifikat-Ersteller weitergibt. In einem Video von der WWDC 2022 erklĂ€rt Apples Entwickler Tommy Pauly HintergrĂŒnde der Captcha-Anwendung und wie Apple dies zu ersetzen gedenkt. Captcha (Akronym fĂŒr "Completely automated public Turing test to tell computers and humans apart") ist seit Langem im Netz verbreitet, um legitime Nutzer von Angreifern und Bots zu unterscheiden. WĂ€hrend sich die Seitenbetreiber durch Captcha absichern, gestaltet sich der Anmeldeprozess fĂŒr Endnutzer durch das stĂ€ndige AuswĂ€hlen von Ampeln, Zebrastreifen, Schiffen, MotorrĂ€dern oder Hydranten als recht langwierig. Nutzer mit manchen Behinderungen sind gar ausgeschlossen.

Apple löst Probleme mit Captchas

Apples Lösung dafĂŒr sind "Private Access Tokens", die Captchas zu umgehen. Die PrĂ€misse dabei ist, dass die legitimen Nutzer bewiesen haben, dass sie keine Roboter sind, noch bevor sie eine bestimmte Seite aufsuchen. Als Grundlage fĂŒr ein menschliches Verhalten dienen ein GerĂ€t mit der verifizierten Apple-ID, oder eine gestartete App, deren Code bereits signiert ist, oder sie haben ihr GerĂ€t zuvor mit dem Passwort, der Touch-ID oder der Face-ID entsperrt. Private Access Tokens sind gewissermaßen ein Echtheitszertifikat, die gegenĂŒber dem Webseiten-Betreiber beweisen, dass der Besucher oder die Besucherin ein Mensch ist, ohne die IdentitĂ€t dieses Menschen zu verraten. 

Um dieses Zertifikat herzustellen und zu verifizieren, schalten sich zwischen dem Client, also dem Besucher und dem Server noch zwei zusĂ€tzliche Instanzen ein. Der sogenannte iCloud-Attester bearbeitet die Anfragen der Endnutzer fĂŒr ein neues Token. Anhand der gĂŒltigen SchlĂŒssel in Secure Enclave des GerĂ€ts, und/oder anhand bestimmten Verhaltensmuster stellt iCloud-Attester fest, dass die Anfrage von einem Menschen kommt. Gleichzeitig bekommt er aber nicht mit, fĂŒr welchen Server genau die Anfrage bzw. der Token ausgestellt werden soll. Wird der Client, also der Nutzer durch den iCloud-Attester validiert, schickt der Attester eine weitere Anfrage an den Zertifikat-Hersteller fĂŒr einen neuen Token. Der Zertifikat-Hersteller erhĂ€lt keine Informationen zur Person des Nutzers, da es aber dem Attester vertraut, wird ein neuer einmaliger Token erstellt. Diese BestĂ€tigungsdatei wird durch iCloud-Attester dem Client weitergegeben, dieser kann sich wiederum gegenĂŒber dem Server-Anbieter ausweisen. Der Service-Provider kann anhand des öffentlichen SchlĂŒssels des Zertifikat-Herstellers ĂŒberprĂŒfen, dass die BestĂ€tigungsdatei gĂŒltig ist, das heißt, dass der Besucher ein Mensch ist, hat jedoch keine nĂ€heren Informationen wie IP-Adressen zur Person, kann aber den Zugang zu eigenen Inhalten gewĂ€hren. 

Was nach einem komplizierten Konstrukt aussieht, funktioniert zumindest in Apples Demo recht schnell, auf jeden Fall schneller als eine Captcha-Eingabe. Apple hat zudem angekĂŒndigt, dass beim iOS-16-Start Cloudflare und Fastly als Zertifikat-Hersteller aktiv sein werden. Weitere Anbieter können sich unter register.apple.com dafĂŒr anmelden. 

Private Access Tokens basieren auf einem öffentlichen Protokoll von IETF  (Internet Engineering Task Force), da in der Arbeitsgruppe neben Apple, Cloudflare und Fastly auch Google-Mitarbeiter teilnehmen, kann man vermuten, dass die Captcha-Umgehung ebenfalls in Android implementiert (wird). 

Macwelt Marktplatz

2666312