Sicherheitslücke bei "Mit Apple anmelden" entdeckt

Wer viel im Internet unterwegs ist, kennt die Anmeldefunktionen, die große Internet-Konzerne Drittanbietern zur Verfügung stellen. Im vergangenen Jahr hat auch Apple ein entsprechendes Angebot namens "Mit Apple anmelden" ("Sign in with Apple") eingeführt. Wie sich nun herausstellt, wies das System eine kritische Sicherheitslücke auf. Mit einem Trick war es möglich, sich mit falscher Identität bei Webseiten und Apps anzumelden und so die Kontrolle über fremde Nutzerkonten zu erlangen.

Fremde E-Mail-Adresse

Wie Hacker News berichtet, ist der indische Sicherheitsforscher Bhavuk Jain auf die Lücke gestoßen. Er hat Apple darüber informiert und dafür einen Finderlohn von 100.000 Dollar eingestrichen. Der Trick, mit dem man "Mit Apple anmelden" austricksen kann, setzt bei der Kommunikation zwischen Nutzer, der Drittparteien-Anwendung und Apples Authentifizierungs-Servern an. In einem Zwischenschritt war es möglich, andere Apple-IDs als die eigene einzugeben, wodurch die Anmeldung mit einer fremden E-Mail-Adresse gelang.

"Ich habe herausgefunden, dass man JSON Web Token für jede E-Mail-ID von Apple abfragen konnte", schildert Bhavuk. "Und als die Signatur dieser Token verifiziert wurde, indem man Apples öffentlichen Schlüssel verwendete, wurden sie als gültig angezeigt. Das bedeutet, dass ein Angreifer einen JSON Web Token fälschen konnte, indem er irgendeine E-Mail-ID verlinkt und somit Zugang zu dem Konto des Opfers erhalten konnte."

Lücke geschlossen

Durch die Angriffsmethode hätte man vollen Zugriff auf ein Nutzerprofil erhalten können, meint Bhavuk weiter - und zwar bei allen Diensten, die "Mit Apple anmelden" unterstützen, darunter etwa Dropbox, Spotify oder AirBnB. Bei einigen Diensten hätte allerdings eine Zwei-Faktor-Authentifizierung aktiviert sein können, was eine Kontenübernahme verhindert hätte. Apple hat die Lücke in der Zwischenzeit bereits mit einem Patch geschlossen. Nachforschungen ergaben, dass sie in der Praxis niemals ausgenutzt worden ist.