Detaillierte Informationen über eine inzwischen gepatchte Schwachstelle in der „Mit Apple anmelden“-Authentifizierung wurden aufgedeckt. Entwickler Bhavuk Jain entdeckte die Schwachstelle, die zu einer Übernahme einiger Benutzer-Accounts hätte führen können. Jain offenbarte Apple den Fehler, was zu einer Prämie in Höhe von 100.000 US-Dollar führte.
Kritische Sicherheitslücke behoben
Die 2019 eingeführte Funktion „Mit Apple anmelden“ soll eine stärker auf den Datenschutz ausgerichtete Alternative zu bisherigen Webseiten- und App-Anmeldesystemen sein. Dabei schützt Apple die Privatsphäre der Nutzer, indem Entwickler eine einmalige zufällige ID erhalten. Selbst in den Fällen, in denen Dienste nach einem Namen und einer E-Mail-Adresse fragen, haben Nutzer die Möglichkeit, ihre E-Mail-Adresse privat zu halten und stattdessen eine einmalige zufällige E-Mail-Adresse zu verwenden.
Doch auch Apples Lösung ist nicht vor Sicherheitslücken gefeit. So wurde nun eine inzwischen behobene Sicherheitslücke in der API bekannt. Wie der auf Sicherheit spezialisierte Entwickler Bhavuk Jain gegenüber The Hacker News erklärt, ermöglichte es die Zero-Day-Schwachstelle, dass ein Angreifer den Zugriff auf einen Benutzer-Account erlangen konnte.
Die Art und Weise, wie Apples Authentifizierung funktioniert, beruht entweder auf einem JSON Web Token (JWT) oder auf einem von Apples Servern generierten Code, wobei letzterer zur Generierung eines JWT verwendet wird, wenn er nicht existiert. Während der Autorisierung bietet Apple den Benutzern die Möglichkeit, ihre Apple-E-Mail-ID für die App des Drittanbieters freizugeben oder zu verbergen, wobei für die letztere Auswahl eine benutzerspezifische Apple-Relay-E-Mail-ID erstellt wird.
Nach einer erfolgreichen Autorisierung erstellt Apple ein JWT, das die E-Mail-ID enthält und von der App des Drittanbieters zur Anmeldung des Benutzers verwendet wird. Jain entdeckte im April, dass es möglich ist, ein JWT für jede beliebige E-Mail-ID zu beantragen. Wenn die Signatur des Tokens mit Apples öffentlichem Schlüssel verifiziert wird, gelten sie als gültig. Tatsächlich könnte ein Angreifer durch dieses Verfahren einen JWT erstellen und Zugang zum Konto des Opfers erhalten.
100.000 US-Dollar als Belohnung
Da Apple die Einbindung von „Mit Apple anmelden“ in Apps mit anderen sozial-basierten Anmeldesystemen vorschreibt, hätte der Angriff eine sehr breite Basis von Apps gehabt. Der findige Entwickler offenbarte Apple verantwortungsbewusst die Schwachstelle, was Jain im Zuge des Bug-Bounty-Programms eine Belohnung in Höhe von 100.000 US-Dollar einbrachte. Apple hat die Schwachstelle inzwischen behoben. Eine Untersuchung des Sicherheitsteams von Apple ergab zudem, dass die Schwachstelle bisher nicht ausgenutzt wurde.
0 Kommentare