Inzwischen hat Apple eine gravierende Sicherheitslücke in seinem Anmeldedienst “Sign in with Apple” (deutsch: “Mit Apple anmelden”) geschlossen. Durch diese Schwachstelle konnte ein Angreifer die Identität eines beliebigen, bei Apple registrierten Benutzers übernehmen. Entdeckt hatte die Lücke der IT-Sicherheitsspezialist Bhavuk Jain und sie auch an Apple gemeldet, wofür er eine Belohnung von 100.000 Dollar erhielt, schreibt The Hacker News.
Was die Lücke alles möglich macht
Über diese Lücke Lücke kann ein Angreifer sich bei einem Dienst oder einer App, die den Apple-Anmeldedienst nutzt, als ein beliebiger Benutzer authentifizieren. Danach könnte der Angreifer dann innerhalb des Dienstes oder der App als eben dieser Nutzer handeln, also das fremde Apple-Konto innerhalb dieses Kontextes komplett übernehmen.
Das Verfahren funktionierte sogar dann, wenn die Apple-Identität dem Drittanbieter verborgen blieb und selbst dann, wenn mit der Anmeldung eine ganz neue Apple-Nutzeridentität erzeugt wurde.
Fehler steckte in Apples Code
Vor Bekanntwerden hat Apple die Lücke geschlossen. Der Fehler steckte nur im Code von Apple, und nicht in der Implementierung beim Drittanbieter. Nach Angaben des Unternehmens ist nach Auswertung der Server-Logs kein einziger Fall gefunden worden, bei dem diese Schwachstelle dazu benutzt wurde, unbefugt die Identität eines Nutzers zu übernehmen.
Apples vor 11 Jahren vorgestellte Anmelde-Alternative zu ähnlichen Diensten von den Konzernen Google und Facebook soll eine bequeme und insbesondere auch sichere Authentifizierungsmethode für Apple-Benutzer sein, die nicht für jede App ein separates Nutzerkonto erstellen wollen.
