Apple hat eine gravierende Sicherheitslücke in seinem Anmeldedienst "Sign in with Apple" geschlossen, durch die ein Angreifer die Identität eines beliebigen, bei Apple registrierten Benutzers hätte übernehmen können. Der IT-Sicherheitsspezialist Bhavuk Jain entdeckte die Lücke und meldete sie an Apple, wofür er eine Belohnung erhielt, berichtet The Hacker News.

Identität in Tokens nicht verglichen

Die Lücke erlaubt es einem Angreifer, sich bei einem Dienst oder einer App, die auf den Apple-Anmeldedienst zurückgreift, als ein beliebiger Benutzer zu authentifizieren. Damit könnte der Angreifer innerhalb des Dienstes oder der App als dieser Nutzer agieren, also das fremde Apple-Konto innerhalb dieses Kontextes vollständig übernehmen. Jain meldete die von ihm bereits im April entdeckte Schwachstelle an Apple und bekam im Rahmen des Bug-Bounty-Programms des Unternehmens 100.000 US-Dollar Belohnung ausgezahlt.

Nachdem die Authentifizierung beim Apple-Anmeldeserver abgeschlossen ist, beginnt ein Austausch zwischen dem Dienst oder der App des Drittanbieters und dem Apple-Server über JSON Web Tokens, damit die Identitätsbestätigung auch dem Drittanbieter übermittelt wird. Hierbei konnte Jain modifizierte Tokens mit einer fremden Identität (eines potenziellen Opfers) einschleusen und sich gegenüber dem Drittanbieter als diese Identität ausgeben, weil Apple nicht überprüfte, ob der ursprünglich authentifizierte Benutzer und die Nutzeridentität in den Tokens übereinstimmen, erklärt The Hacker News.

Das Verfahren funktionierte auch dann, wenn die Apple-Identität dem Drittanbieter verborgen blieb und sogar dann, wenn mit der Anmeldung eine neue Apple-Nutzeridentität erzeugt wurde. Jain weist darauf hin, dass Drittanbieter, die zusätzlich zum Apple-Anmeldedienst eine zweite Methode zur Authentifizierung implementieren (2-Faktor-Authentifizierung), von dem Problem wahrscheinlich nicht betroffen waren.

Fehler in Apples Code behoben

Apple hat die Lücke vor Bekanntwerden geschlossen. Der Fehler bestand allein im Code von Apple, nicht in der Implementierung beim Drittanbieter. Laut Aussage des Unternehmens ist nach Auswertung der Server-Logs kein Fall entdeckt worden, in dem diese Schwachstelle dazu benutzt wurde, unbefugt die Identität eines Nutzers zu übernehmen.

Apples 2019 vorgestellte Anmelde-Alternative zu ähnlichen Diensten von Google und Facebook (deutsche Bezeichnung: "Mit Apple anmelden") soll eine bequeme und vor allem sichere Authentifizierungsmethode für Apple-Benutzer bereitstellen, die nicht für jede App ein separates Nutzerkonto erstellen wollen. Seit Herbst 2019 müssen Apps in Apples App Stores den Dienst implementieren, wenn sie bereits vergleichbare Dienste von Mitbewerbern verwenden.

(tiw)