Ein Bug Bounty Hunter deckte einen schwerwiegenden Fehler in Apples „Sign in with Apple“-Funktion auf. Ein Angreifer hätte die Sicherheitslücke ausnutzen und ein Apple-Konto kapern können, um damit Drittanbieter-Dienstleistungen in Anspruch zu nehmen.

Laut Bhavuk Jain waren App-Konten und Websites von Drittanbietern, die auf „Sign with Apple“ zurückgriffen, aber keine eigenen zusätzlichen Sicherheitsmaßnahmen implementierten, gefährdet.

Jain entdeckte das Sicherheitsproblem im April und meldete dieses anschließend Apple. Das Unternehmen belohnte ihn im Rahmen des Security-Bounty-Programms mit 100.000 US-Dollar.

Der indische Bug Bounty Hunter erklärte, Apple habe in die eigenen Logs geschaut und keine Hinweise über eine Kompromittierung oder einen Missbrauch der Apple-Konten gefunden. Der Bug wurde inzwischen gepatcht, obwohl Apple sich noch nicht öffentlich zu den Ergebnissen von Jain äußerte.



Jain weist darauf hin, dass es zwei Möglichkeiten gibt, sich mithilfe des Login-Diensts „Sign in with Apple” zu authentifizieren – entweder durch die Verwendung eines JSON-Web-Tokens (JWT) oder dadurch, dass die Server von Apple einen Code generieren, der dann ein JWT generiert. Beim Anmeldevorgang hat der User dann die Option, seine mit der Apple-ID verknüpfte E-Mail mit Drittanbieter-Diensten zu teilen oder nicht.

Im letzteren Fall wird eine benutzerspezifische Apple Relay-E-Mail-ID erzeugt. Sobald die Autorisierung erfolgte, generiert Apple ein JWT mit der E-Mail-ID, die von Drittanbieter-Anwendungen verwendet wird, um den Benutzer anzumelden. Aufgrund einer fehlenden Validierung bestand jedoch die Möglichkeit, den Prozess zu untergraben, bei dem das JWT das Konto eines Benutzers kapern konnte - und dazu musste man nur die E-Mail-ID des Opfers kennen.

„Ich fand heraus, dass ich JWTs für jede E-Mail-ID von Apple anfordern konnte, und als die Signatur der Tokens mithilfe des öffentlichen Apple-Schlüssels verifiziert wurde, stellten sie sich als gültig heraus. Das bedeutete, dass ein Angreifer eine JWT fälschen konnte, indem er damit eine beliebige E-Mail-ID verknüpfte und Zugang zum Konto des Opfers erhielt“, sagte Jain.

Der Technologieriese aus Cupertino verlangt von den App-Entwicklern das Hinzufügen der „Sign in with Apple”-Option, sobald andere Formen von Social Logins (Facebook, Google) implementiert werden. Diese Funktion wird unter anderem auch von unzähligen großen Diensten wie Spotify, Airbnb, Adobe, eBay und Dropbox etc. genutzt.

Anfang dieses Jahres wurden schwere Sicherheitslücken in der iOS-Mail-Anwendung gefunden, die auf allen iOS-Geräten vorinstalliert ist. Die Schwachstellen wurden inzwischen gepatcht und ein Update der Öffentlichkeit zur Verfügung gestellt.