Sicherheitslücke bei "Mit Apple anmelden" entdeckt
Bild: Apple
Mit einem Trick konnten Angreifer die Kontrolle über Nutzerkonten bei Apps erlangen, die das Apple-Anmeldesystem verwenden.
Wie Hacker News berichtet, ist der indische Sicherheitsforscher Bhavuk Jain auf die Lücke gestoßen. Er hat Apple darüber informiert und dafür einen Finderlohn von 100.000 Dollar eingestrichen. Der Trick, mit dem man "Mit Apple anmelden" austricksen kann, setzt bei der Kommunikation zwischen Nutzer, der Drittparteien-Anwendung und Apples Authentifizierungs-Servern an. In einem Zwischenschritt war es möglich, andere Apple-IDs als die eigene einzugeben, wodurch die Anmeldung mit einer fremden E-Mail-Adresse gelang.
Ich habe herausgefunden, dass man JSON Web Token für jede E-Mail-ID von Apple abfragen konnte
... schildert Bhavuk.
Und als die Signatur dieser Token verifiziert wurde, indem man Apples öffentlichen Schlüssel verwendete, wurden sie als gültig angezeigt. Das bedeutet, dass ein Angreifer einen JSON Web Token fälschen konnte, indem er irgendeine E-Mail-ID verlinkt und somit Zugang zu dem Konto des Opfers erhalten konnte.
Mehr dazu findest Du auf futurezone.at
Kurze URL:
Weitere News:
"Julian Assange ist frei": Einigung mit US-Justiz
Snailload: Neuer Angriff kann unbemerkt Online-Aktivitäten ausspionieren
Erstes Cybercrime-Trainingscenter der Polizei in Linz gestartet
Windows on ARM: Die neuen Surface-Geräte sind noch reparierbarer
Snapdragon X1 Elite: Windows-PC schlägt Macbook Air bei der Akkulaufzeit
Netflix denkt abermals über kostenloses Videostreaming nach
EXYNOS 2500: Samsung soll zu hohen Ausschuss bei neuem SoC haben
Internet Archive entfernt 500.000 Bücher
"Bullshit-Maschine", Artikelklau: Schwere Vorwürfe gegen KI-Suchmaschine Perplexity
Apple droht Milliardenstrafe in EU-Kartellverfahren
Snailload: Neuer Angriff kann unbemerkt Online-Aktivitäten ausspionieren
Erstes Cybercrime-Trainingscenter der Polizei in Linz gestartet
Windows on ARM: Die neuen Surface-Geräte sind noch reparierbarer
Snapdragon X1 Elite: Windows-PC schlägt Macbook Air bei der Akkulaufzeit
Netflix denkt abermals über kostenloses Videostreaming nach
EXYNOS 2500: Samsung soll zu hohen Ausschuss bei neuem SoC haben
Internet Archive entfernt 500.000 Bücher
"Bullshit-Maschine", Artikelklau: Schwere Vorwürfe gegen KI-Suchmaschine Perplexity
Apple droht Milliardenstrafe in EU-Kartellverfahren
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(1)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024