• Home
  • News
  • Rumors
  • Tipps & Tricks
  • Tests & Erfahrungsberichte
  • Allgemein
Apfelpatient
No Result
View All Result
  • Home
  • News
  • Rumors
  • Tipps & Tricks
  • Tests & Erfahrungsberichte
  • Allgemein
No Result
View All Result
Apfelpatient
No Result
View All Result

„Anmelden mit Apple“ – Sicherheitslücke geschlossen

Milan by Milan
31. Mai 2020
in News

Eine kritische Sicherheitslücke hat es Angreifern möglich gemacht, Zugriff auf Konten zu erhalten, die „Anmelden mit Apple“ verwendet haben – nun hat Apple den Fehler behoben. 

Die Sicherheitslücke wurde von Bhavuk Jain, einem Sicherheitsforscher, entdeckt und im Rahmen von Apples Bug Bounty Programm gemeldet. So heißt es in dem Bericht:

Bhavuk stellte fest, dass Apple zwar die Benutzer auffordert, sich vor dem Auslösen der Anforderung bei ihrem Apple-Account anzumelden, aber nicht validiert wurde, wenn dieselbe Person im nächsten Schritt JSON Web Token (JWT) von ihrem Authentifizierungsserver anfordert.

Daher hätte die fehlende Validierung in diesem Teil des Mechanismus es einem Angreifer ermöglichen können, eine separate Apple-ID eines Opfers bereitzustellen und so die Apple-Server auszutricksen, damit sie JWT-Nutzlast erzeugen, die gültig ist, um sich mit der Identität des Opfers bei einem Drittanbieter-Dienst anzumelden.

100.000 US-Dollar Belohnung für den Fund

Demnach konnten also Accounts bei Drittanbieterdiensten, die auf „Anmelden mit Apple“ erstellt wurden, übernommen werden. Ausgenommen seien Anwendungen, die über zusätzliche Sicherheitsmaßnahmen bei der Verifizierung verfügen. Jain erklärte dabei: 

Die Auswirkungen dieser Schwachstelle waren ziemlich kritisch, da sie eine vollständige Übernahme der Konten hätte ermöglichen können. Viele Entwickler haben die Anmeldung bei Apple integriert, da sie für Anwendungen, die andere soziale Anmeldungen unterstützen, obligatorisch ist. Um nur einige zu nennen, die Sign in with Apple verwenden – Dropbox, Spotify, Airbnb, Giphy (jetzt von Facebook übernommen)“, schrieb Jain.

Der Sicherheitsforscher erhielt für diesen Fund insgesamt 100.000 US-Dollar als Belohnung. Nun soll die Sicherheitslücke von Apple geschlossen worden sein. Dem Unternehmen nach wurde die Schwachstelle allerdings nicht ausgenutzt – zumindest gibt es keine Beweise dafür. An dieser Stelle sollte auch betont werden, der Apple Account selbst war zu keinem Zeitpunkt gefährdet. (Photo by manae / Bigstockphoto)

Kennt ihr schon unsere Amazon Storefront? Dort findet ihr eine handverlesene Auswahl von diversen Produkten für euer iPhone und Co. – viel Spaß beim Stöbern.
Der Beitrag enthält Partnerlinks.
Tags: Apple ServiceiOSiPadOSmacOSSicherheitslücke
Previous Post

Apple hebt Preis für Arbeitsspeicher an

Next Post

Apple Watch Series 6: Leaker erwähnt Display

Next Post

Apple Watch Series 6: Leaker erwähnt Display

No Result
View All Result

Neueste Beiträge

  • iPhone 15: Dynamic Island mit integriertem Sensor
  • USB-C statt Lightning: Apple plant AirPods Pro 2-Upgrade
  • iPhone 15 Pro: Die Top 10 Gerüchte im Überblick
  • So einfach geht’s: iPhone Kontakte sichern in wenigen Schritten
  • iPhone zurücksetzen: Schritt-für-Schritt-Anleitung

Archiv

Über APFELPATIENT

Ob News, Rumors, Tipps, Tricks oder Ratgeber - hier findet ihr alles rund um Apple, Gaming und mehr.

Rechtliches

  • Impressum
  • Cookie-Einstellungen
  • Datenschutzerklärung
  • Nutzungsbedingungen

Service

  • Partnerprogramm
  • App Feedback
  • App Store

 Apfelpatient RSS-Feed

© 2023 Apfelpatient. Alle Rechte vorbehalten.

No Result
View All Result
  • Home
  • News
  • Rumors
  • Tipps & Tricks
  • Tests & Erfahrungsberichte
  • Allgemein

© 2023 Apfelpatient. Alle Rechte vorbehalten.