Der indische Cybersicherheitsforscher Bhavuk Jain erhielt eine Belohnung von 100 US-Dollar für die Entdeckung einer gefährlichen Schwachstelle in der Funktion „Mit Apple anmelden“.
Wir sprechen von einer Sicherheitslücke, die es Angreifern ermöglichen könnte, die Kontrolle über die Konten von Opfern in Anwendungen und Diensten zu übernehmen, die das Tool „Mit Apple anmelden“ zur Autorisierung verwenden. Zur Erinnerung: „Mit Apple anmelden“ ist ein datenschutzerhaltender Authentifizierungsmechanismus, der es Ihnen ermöglicht, sich bei Apps und Diensten von Drittanbietern anzumelden, ohne Ihre E-Mail-Adresse preiszugeben.
Der Authentifizierungsprozess „Mit Apple anmelden“ generiert ein JSON-Web-Token, das vertrauliche Informationen enthält, die eine Drittanbieteranwendung verwendet, um die Identität des angemeldeten Benutzers zu überprüfen. Die Ausnutzung der genannten Schwachstelle ermöglichte es einem Angreifer, ein JWT-Token zu fälschen, das mit der Kennung eines beliebigen Benutzers verknüpft ist. Dadurch könnte sich ein Angreifer im Namen des Opfers über die Funktion „Mit Apple anmelden“ bei Diensten und Anwendungen von Drittanbietern anmelden, die dieses Tool unterstützen.
Der Forscher meldete die Sicherheitslücke letzten Monat bei Apple und wurde seitdem gepatcht. Darüber hinaus führten Apple-Experten eine Untersuchung durch, bei der kein Fall gefunden wurde, in dem diese Schwachstelle von Angreifern in der Praxis ausgenutzt wurde.
Source: 3dnews.ru