Bild: Apple

Mit einem Trick konnten Angreifer die Kontrolle über Nutzerkonten bei Apps erlangen, die das Apple-Anmeldesystem verwenden.

Wie Hacker News berichtet, ist der indische Sicherheitsforscher Bhavuk Jain auf die Lücke gestoßen. Er hat Apple darüber informiert und dafür einen Finderlohn von 100.000 Dollar eingestrichen. Der Trick, mit dem man "Mit Apple anmelden" austricksen kann, setzt bei der Kommunikation zwischen Nutzer, der Drittparteien-Anwendung und Apples Authentifizierungs-Servern an. In einem Zwischenschritt war es möglich, andere Apple-IDs als die eigene einzugeben, wodurch die Anmeldung mit einer fremden E-Mail-Adresse gelang.

Ich habe herausgefunden, dass man JSON Web Token für jede E-Mail-ID von Apple abfragen konnte

... schildert Bhavuk.

Und als die Signatur dieser Token verifiziert wurde, indem man Apples öffentlichen Schlüssel verwendete, wurden sie als gültig angezeigt. Das bedeutet, dass ein Angreifer einen JSON Web Token fälschen konnte, indem er irgendeine E-Mail-ID verlinkt und somit Zugang zu dem Konto des Opfers erhalten konnte.