Sicherheitslücke bei "Mit Apple anmelden" entdeckt
31. Mai 2020, 22:01 | 1 KommentarBild: Apple
Mit einem Trick konnten Angreifer die Kontrolle über Nutzerkonten bei Apps erlangen, die das Apple-Anmeldesystem verwenden.
Wie Hacker News berichtet, ist der indische Sicherheitsforscher Bhavuk Jain auf die Lücke gestoßen. Er hat Apple darüber informiert und dafür einen Finderlohn von 100.000 Dollar eingestrichen. Der Trick, mit dem man "Mit Apple anmelden" austricksen kann, setzt bei der Kommunikation zwischen Nutzer, der Drittparteien-Anwendung und Apples Authentifizierungs-Servern an. In einem Zwischenschritt war es möglich, andere Apple-IDs als die eigene einzugeben, wodurch die Anmeldung mit einer fremden E-Mail-Adresse gelang.
Ich habe herausgefunden, dass man JSON Web Token für jede E-Mail-ID von Apple abfragen konnte
... schildert Bhavuk.
Und als die Signatur dieser Token verifiziert wurde, indem man Apples öffentlichen Schlüssel verwendete, wurden sie als gültig angezeigt. Das bedeutet, dass ein Angreifer einen JSON Web Token fälschen konnte, indem er irgendeine E-Mail-ID verlinkt und somit Zugang zu dem Konto des Opfers erhalten konnte.
Mehr dazu findest Du auf futurezone.at
Kurze URL:
Weitere News:
Küstenwache beschattet verdächtigen Frachter
Abstürze bei Ubisoft-Spielen: Microsoft pausiert Update für Windows 11
Gesperrt auf Instagram und die SMS für den Einspruch kommt nicht an
aleX fotografiert: Wieder süsse Eichhörnchen
Beijing: China Unicom baut großes 5G Advanced-Mobilfunknetz auf
Tesla erneut Letzter im TÜV-Report
Russische Hacker attackieren US-Unternehmen per Wi-Fi
Kind bringt Krypto-Anleger mehrfach um ihr Geld
KI-Klage der New York Times: OpenAI löscht versehentlich Beweise
7-Zip-Lücke lässt Angreifer Schadcode ausführen
Abstürze bei Ubisoft-Spielen: Microsoft pausiert Update für Windows 11
Gesperrt auf Instagram und die SMS für den Einspruch kommt nicht an
aleX fotografiert: Wieder süsse Eichhörnchen
Beijing: China Unicom baut großes 5G Advanced-Mobilfunknetz auf
Tesla erneut Letzter im TÜV-Report
Russische Hacker attackieren US-Unternehmen per Wi-Fi
Kind bringt Krypto-Anleger mehrfach um ihr Geld
KI-Klage der New York Times: OpenAI löscht versehentlich Beweise
7-Zip-Lücke lässt Angreifer Schadcode ausführen
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(1)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...
;-)
© by Ress Design Group, 2001 - 2024