Apple

Sicherheitslücke bei "Mit Apple anmelden" entdeckt

31. Mai 2020, 22:01 |  1 Kommentar


Bild: Apple

Mit einem Trick konnten Angreifer die Kontrolle über Nutzerkonten bei Apps erlangen, die das Apple-Anmeldesystem verwenden.

Wie Hacker News berichtet, ist der indische Sicherheitsforscher Bhavuk Jain auf die Lücke gestoßen. Er hat Apple darüber informiert und dafür einen Finderlohn von 100.000 Dollar eingestrichen. Der Trick, mit dem man "Mit Apple anmelden" austricksen kann, setzt bei der Kommunikation zwischen Nutzer, der Drittparteien-Anwendung und Apples Authentifizierungs-Servern an. In einem Zwischenschritt war es möglich, andere Apple-IDs als die eigene einzugeben, wodurch die Anmeldung mit einer fremden E-Mail-Adresse gelang.

Ich habe herausgefunden, dass man JSON Web Token für jede E-Mail-ID von Apple abfragen konnte


... schildert Bhavuk.

Und als die Signatur dieser Token verifiziert wurde, indem man Apples öffentlichen Schlüssel verwendete, wurden sie als gültig angezeigt. Das bedeutet, dass ein Angreifer einen JSON Web Token fälschen konnte, indem er irgendeine E-Mail-ID verlinkt und somit Zugang zu dem Konto des Opfers erhalten konnte.


Mehr dazu findest Du auf futurezone.at





Kurze URL:


Bewertung: 2.0/5 (7 Stimmen)


Weitere News:

Einen Kommentar schreiben

Du willst nicht als "Gast" schreiben? Logg Dich Hier ein.

Code:

Code neuladen

Kommentare
(1)

Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.




Kommentare:

Du hast bereits für diesen Kommentar abgestimmt...

;-)

Top