Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Die Nutzung von IT-Funktionen, bei denen es um die persönlichen Daten der Nutzer, wie Login-Informationen oder ähnliches geht, ist stark vom Vertrauen der User abhängig. Umso ärgerlicher ist es, wenn bekannt wird, dass diese Funktionen fehlerhaft sind oder Sicherheitslücken aufweisen. Dies ist blöderweise nun auch bei "Sign in With Apple" aufgetreten. So hat der Sicherheitsforscher Bhavuk Jain im April eine kritische Sicherheitslücke in der Apple-Funktion entdeckt, durch dies es möglich war, dass ein Angreifer die Kontrolle über einen hiermit verbundenen Nutzer-Account erlangt. Der Bug betraf Drittanbieter-Anwendungen, die zwar "Sign in With Apple", jedoch keine weiteren Sicherheitsfunktionen implementiert hatten.

Die von Jain entdeckte Sicherheitslücke in "Sign in With Apple" basiert auf der Anmeldung eines Nutzers mithilfe eines "JSON Web Token" (JWT) oder einem von einem Apple-Server generierten Code. Anschließend fragt Apple den Nutzer, ob er seine tatsächliche E-Mail Adresse oder eine zufällig generierte iCloud-Adresse nutzen möchte, woraufhin der JWT generiert wird, um sich an dem jeweiligen Dienst anzumelden. Jain entdeckte dann, dass für den Fall, dass jeweils ein JWT sowohl für die normale E-Mail Adresse als auch für die iCloud-Adresse generiert und durch Apples Public Key verifiziert wurde, das Token als korrekt gekennzeichnet wurde und somit ein JWT erzeugt werden konnte, um sich hiermit Zugriff zu einem mit "Sign in With Apple" gesichert Account zu verschaffen. Gegenüber The Hacker News betonte Jain noch einmal die große Gefahr, die von dem Bug ausging.

Apple stellte daraufhin Untersuchungen an und stellte fest, dass die Lücke bislang nicht ausgenutzt wurde. Inzwischen wurde sie selbstverständlich behoben und Bhavuk Jain im Rahmen von Apple Security Bounty Program mit 100.000,- US-Dollar für die Entdeckung belohnt.