United States Brazil Russia France Germany China Korea Japan

Artificial Intelligence driven Marketing Communications

 
Jun 3, 2020 1:17 AM ET

Apple belohnt indischen Mann 1.00.000 US-Dollar für die Entdeckung der Zero-Day-Schwachstelle


iCrowd Newswire - Jun 3, 2020

Seit Apple es für Apps verbindlich gemacht hat, die keine Anmeldungen von Drittanbietern unterstützten, haben viele Entwickler den Dienst “Anmelden bei Apple” für ihre Apps genutzt. Hier wurde der Fehler entdeckt.

Apple logo

Auf der Apple-Authentifizierungsseite “Anmelden bei Apple” wurde kürzlich auf eine neue Zero-Day-Schwachstelle hingewiesen. Der Mann aus Telangana, Indien, behauptet nun, von dem US-Amerikanischen Tech-Giganten im Rahmen seines Security Bounty-Programms 100.000 US-Dollar (etwa 75 Lakh) erhalten zu haben. Lesen Sie auch – Holen Sie sich jetzt maßgeschneiderte Apple MacBooks, iMac in Indien

Die Sicherheitsanfälligkeit betrifft Apps von Drittanbietern, die die Apple-Authentifizierung verwenden, aber keine eigenen Sicherheitsmaßnahmen haben. Nach dem Ausnutzen würde die Sicherheitsanfälligkeit angreifern die volle Kontrolle über Benutzerkonten in Anwendungen von Drittanbietern ermöglichen. Lesen Sie auch – Google-Chef Sundar Pichai ist offen für die Zusammenarbeit mit Apple an anderen Projekten

Bhavuk Jain, der Programmierer, fügte auch nach einem Bericht von LiveMint hinzu, dass Apple eine Untersuchung seiner Protokolle durchführte, nachdem die Schwachstelle entdeckt worden war, und stellte fest, dass sie nicht missbraucht wurde und dass keine Konten dadurch kompromittiert wurden. Jain erklärt in seinem Blog weiter, dass die Funktion “Anmelden bei Apple” ähnlich wie Oauth 2.0 funktioniert, indem ein Benutzer entweder mit einem JWT oder einem Code authentifizierung erfolgt, der von Apples eigenem Server generiert wird. Lesen Sie auch – Apple startet Massenproduktion des neuen AirPods Studio; könnte auf der WWDC angekündigt werden

Jain entdeckte, dass Angreifer tatsächlich ein JWT fälschen konnten, indem sie eine beliebige E-Mail-ID mit ihm verknüpfen und Zugriff auf das App-Konto eines Benutzers erhalten. Die Angreifer hätten JWTs für jede E-Mail-ID von Appleanfordern können. Außerdem, wenn die Signatur dieser Token mit Apples öffentlichem Schlüssel überprüft wurde, zeigten sie als gültig an.

Anmelden bei Apple

Seit Apple es für Apps verbindlich gemacht hat, die keine Anmeldungen von Drittanbietern unterstützten, haben viele Entwickler den Dienst “Anmelden bei Apple” für ihre Apps genutzt. Die Funktion ermöglicht es Benutzern, sich bei Apps und Websites anzumelden, indem sie ihre Apple-IDs anstelle ihrer Social-Media-IDs verwenden.

Der Dienst wurde sofort populär. Im Gegensatz zu verschiedenen Anmeldungen von Drittanbietern ermöglichte die Authentifizierung von Apple Benutzern die Möglichkeit, ihre E-Mail-IDs nicht freizugeben, anstatt eine zufällige E-Mail-ID für sie zu generieren. Dies trug dazu bei, die Privatsphäre der Benutzer zu stärken, indem sichergestellt wurde, dass die echten E-Mail-IDs nicht in die falschen Hände gerieten. Dadurch fühlten sich Benutzer, die durch das Web surfen, weniger exponiert.

Contact Information:

Staff



Tags:    German, United States, Wire