Lücke in „Sign in with Apple“ bringt Sicherheitsfachmann 100.000 Dollar
Apple hat ein Sicherheitsproblem in seinem Logindienst „Sign in with Apple“ behoben. Für deren Entdecker hat sich die Sache ausgezahlt: Er kassierte eine üppige Prämie aus Apples Programm für die Bezahlung gefundener Fehler.
Apple hat sich um eine Sicherheitslücke gekümmert, die in seinem Anmeldedienst „Sign in with Apple“ entdeckt worden war. Aufgefunden worden war das Problem von Bhavuk Jain. Laut Medienberichten brachte die Entdeckung der Schwachstelle diesem ein üppiges Preisgeld. 100.000 Dollar habe Apple Jain ausbezahlt, heißt es.
Apple hat sich bereits vor geraumer Zeit der Praxis angeschlossen, die Entdecker von kritischen Sicherheitslücken, die ihre Entdeckung aus eigenem Antrieb an die betroffenen Firmen melden, großzügig zu entlohnen. Das entsprechende Bug Bounty-Programm lief zwar zunächst zögerlich an, aber inzwischen kann ein Entdecker eines gefährlichen Bugs sogar mit siebenstelligen Belohnungen rechnen.
„Signin with Apple“ konnte kompromittiert werden
Die Lücke, die von Bhavuk Jain entdeckt worden war, hatte es einem Angreifer erlaubt, die Kontrolle über das Konto eines Nutzers bei dritten Diensten zu übernehmen. Der Dienst von Apple wurde so also zu einer potenziellen Gefahr für die Konten, bei deren Nutzung er eigentlich helfen sollte. Um diesen Angriff ausführen zu können, musste der Angreifer lediglich die E-Mail-Adresse der Apple-ID des Opfers kennen. Das Problem trat immer dann auf, wenn der Nutzer die von Apple zur Verfügung gestellte Möglichkeit nutzte, nicht seine eigene E-Mail-Adresse einem dritten Dienst gegenüber offenzulegen, erklärt der Sicherheitsforscher in einem Eintrag auf seinem Blog, in dem Fall kann auch eine Wegwerf-Adresse genutzt werden.
Apple hat die von dem Sicherheitsexperten entdeckte Schwachstelle in der genutzten JWTs-Technologie untersucht und daraufhin abgestellt. Weitere Prüfungen bei Apple sollen ergeben haben, dass die Lücke nicht ausgenutzt worden ist. Inzwischen steigt die Anzahl an Diensten, die Apples Anmeldeservice nutzen, schnell an. Grund hierfür ist, dass dessen Nutzung inzwischen verpflichtend geworden ist, sofern ein Dienst eine Nutzerregistrierung fordert.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.