Eine kritische Sicherheitslücke hat es Angreifern möglich gemacht, Zugriff auf Konten zu erhalten, die „Anmelden mit Apple“ verwendet haben – nun hat Apple den Fehler behoben.
Die Sicherheitslücke wurde von Bhavuk Jain, einem Sicherheitsforscher, entdeckt und im Rahmen von Apples Bug Bounty Programm gemeldet. So heißt es in dem Bericht:
Bhavuk stellte fest, dass Apple zwar die Benutzer auffordert, sich vor dem Auslösen der Anforderung bei ihrem Apple-Account anzumelden, aber nicht validiert wurde, wenn dieselbe Person im nächsten Schritt JSON Web Token (JWT) von ihrem Authentifizierungsserver anfordert.
Daher hätte die fehlende Validierung in diesem Teil des Mechanismus es einem Angreifer ermöglichen können, eine separate Apple-ID eines Opfers bereitzustellen und so die Apple-Server auszutricksen, damit sie JWT-Nutzlast erzeugen, die gültig ist, um sich mit der Identität des Opfers bei einem Drittanbieter-Dienst anzumelden.
100.000 US-Dollar Belohnung für den Fund
Demnach konnten also Accounts bei Drittanbieterdiensten, die auf „Anmelden mit Apple“ erstellt wurden, übernommen werden. Ausgenommen seien Anwendungen, die über zusätzliche Sicherheitsmaßnahmen bei der Verifizierung verfügen. Jain erklärte dabei:
Die Auswirkungen dieser Schwachstelle waren ziemlich kritisch, da sie eine vollständige Übernahme der Konten hätte ermöglichen können. Viele Entwickler haben die Anmeldung bei Apple integriert, da sie für Anwendungen, die andere soziale Anmeldungen unterstützen, obligatorisch ist. Um nur einige zu nennen, die Sign in with Apple verwenden – Dropbox, Spotify, Airbnb, Giphy (jetzt von Facebook übernommen)“, schrieb Jain.
Der Sicherheitsforscher erhielt für diesen Fund insgesamt 100.000 US-Dollar als Belohnung. Nun soll die Sicherheitslücke von Apple geschlossen worden sein. Dem Unternehmen nach wurde die Schwachstelle allerdings nicht ausgenutzt – zumindest gibt es keine Beweise dafür. An dieser Stelle sollte auch betont werden, der Apple Account selbst war zu keinem Zeitpunkt gefährdet. (Photo by manae / Bigstockphoto)
