Bei der Anmeldung von Apple ist ein schwerwiegender Fehler aufgetreten. Der Finder erhielt 100.000 US-Dollar

Bei Bedarf können wir uns auf verschiedene Arten bei Websites und Anwendungen anmelden. Zum Beispiel über ein Google-Konto oder über Konten in sozialen Netzwerken.

Letztes Jahr wurde ihnen eine weitere Option hinzugefügt – die Schaltfläche Melden Sie sich bei Apple an. Apple stellte das Produkt auf einer Entwicklerkonferenz im Juni 2019 vor und sagte, es sei eine privatere Möglichkeit, sich schnell und einfach für verschiedene Dienste anzumelden.

Die Funktion “Mit Apple anmelden” ist wirklich privater. Das Authentifizierungssystem des Benutzers veröffentlicht nicht die E-Mail-Adresse (Apple ID) des Benutzers. Es überrascht nicht, dass Benutzer von Apple-Geräten dieses System sehr schnell beherrschen.

Login AppleFoto: Apple

Laut einem aktuellen Bericht des Forbes-Magazins ist jedoch nichts perfekt. Bhavuk Jain, ein Experte für digitale Sicherheit aus der indischen Stadt Delhi, hat eine schwerwiegende Sicherheitslücke im Anmeldesystem von Apple aufgedeckt.

Durch die Sicherheitslücke konnten potenzielle Angreifer uneingeschränkt auf die Konten und Dienste zugreifen, bei denen sich Benutzer über das Apple-System angemeldet hatten. Ein clientseitiger Benutzerauthentifizierungsfehler ermöglichte die Zuordnung einer beliebigen E-Mail-ID zu einem von Apple-Servern generierten Token, das von Drittanbieteranwendungen zur Bestätigung der Benutzeridentität verwendet wird.

EDITORIAL TIPP

OnePlus verfügt über eine neue App, mit der Sie Dateien, Text und Links geräteübergreifend senden können

Glücklicherweise trat eine solche Situation in der Praxis nicht auf. Apple hat die Sicherheitsanfälligkeit sofort behoben und den Sicherheitsanfälligkeitsfinder belohnt. Er erhielt eine Belohnung als Teil eines Belohnungsprogramms, durch das Bhavuk Jain einen Fehler meldete 100.000 US-Dollar.

Dies ist sicherlich eine gute Motivation für andere Entwickler und Sicherheitsexperten, die dazu beitragen können, die Sicherheit weit verbreiteter digitaler Ökosysteme zu erhöhen. Die Höhe der Belohnung hängt natürlich von der Schwere der Sicherheitslücke ab, die Enthusiasten erkennen können.

Technische Details zur Sicherheitslücke finden Sie im Bhavuk Jain Blog.