02.06.2020 • "Sign in with Apple" - Lücke


Apple hat eine gravierende Sicherheitslücke geschlossen, mit welchem Angreifer die Identität eines beliebigen, bei Apple registrierten Benutzers hätte übernehmen können. Dies über die Funktion des Anmeldedienstes "Sign in with Apple".

Die Sicherheitslücke erlaubte es Angreifern, sich bei einem Dienst oder App, die auf den Apple-Anmeldedienst zurückgreift, als ein beliebiger Benutzer zu authentifizieren. Angreifer können dann innerhalb des Dienstes oder der App als dieser Nutzer agieren, dass fremde Apple-Konto innerhalb dieses Kontextes vollständig übernehmen. 

Apple hat die Sicherheitslücke vor Bekanntwerden bereits wieder geschlossen. Der Fehler befand sich im Code von Apple, nicht in der Implementierung beim Drittanbieter. Gemäß Apple ist nach Auswertung der Server-Logs kein Fall entdeckt worden, wobei diese Sicherheitslücke ausgenutzt wurde. 

Ihr Erfolg. Unsere Motivation.