ifun.de — Apple News seit 2001. 39 280 Artikel

Account-Übernahme möglich

„Mit Apple-ID anmelden“ massiv verwundbar: Apple lobt $100.000 aus

Artikel auf Mastodon teilen.
23 Kommentare 23

Der von Apple für Drittentwickler bereitgestellte Login-Mechanismus „Mit Apple-ID anmelden“ war über Monate hinweg massiv verwundbar. Eine Schwachstelle in Apples Server-Logik gestattete Dritten die Übernahme von beliebigen „Mit Apple-ID anmelden“-Accounts.

Flow Apple Auth 1500

Dies berichtet der Entwickler Bhavuk Jain, der die Öffentlichkeit am Pfingstwochenende über die von ihm aufgespürte Schwachstelle informierte und Apples Security Team bereits vor mehreren Wochen auf die problematische Handhabe der Logins aufmerksam machte.

Apple bestätigte den Fehler, von dem namhafte Applikationen wie etwa Dropbox, Spotify und Airbnb betroffen waren, berichtigte diesen und schüttete im Rahmen des sogenannten „Apple Security Bounty„-Programms satte $100.000 an den 27-jährigen Tippgeber aus.

Laut Jain reichte das Wissen um die E-Mail-Adresse eines über „Mit Apple-ID anmelden“ erstellen Accounts aus, um sich einen validen Token von Apples Login-Servern ausstellen zu lassen, mit dem der Account anschließend hätte übernommen werden können.

Nach Angaben Apples sollen keine Accounts durch die inzwischen geschlossene Schwachstelle kompromittiert worden sein.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
02. Jun 2020 um 07:57 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    23 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • 100$ sind meiner Meinung zu wenig.. mindestens 500$ würd ich da schon erwarten..

  • Apple hat diese Belohnung in diesem Fall nicht „ausgelobt“, sondern bezahlt.
    Ausloben ist das, was man vorher macht.

  • Ich kann nichts kommentieren, wenn es um Corona geht. Kritische Textzeilen werden hier im Forum nicht geduldet. Ich werde zensiert und ausgeschlossen. Nur Pro-Corona Kommentare werden freigeschaltet.

    • Gut so. Kannst Deine Meinung gerne irgendwo anders verbreiten.

      • Spinnst? Es gibt Meinungsfreiheit. Jeder kann seinen Standpunkt verteidigen. Dieses Forum ist nicht unabhängig!

      • Bezüglich der Meinungsfreiheit, wäre es in einem technischen Forum wie diesem wohl eher angemessen auf die Gefahren einer zentralisierten ID im Internet hinzuweisen (Sign in with Apple/ Facebook/ Google waht ever) neben dem großartigen Komfort, anstatt sich über Corona und die Politik darum auszulassen.

        Auch wenn der Frust und die Kritik grundsätzlich angemessen und nachvollziehbar sein sollte.

    • Pro-Corona Post…wer gibt denn sowas von sich!

      Tatsächlich muss man aber darauf hinweisen, das dies hier ein eher technisches Forum ist und ich hier auch nicht meine politische Gesinnung Teile, da das einfach von der Sache ablenkt.

      Bitte denkt auch immer daran.

      Politische Kommentare würde ich empfehlen auf Nachrichten Seiten oder sozialen Netzwerken abzugeben.

  • Regt Euch nicht immer über alles auf….werdet gelassener.. bleibt gesund..jeder hat seine Meinung.
    Das ist meine ..!!

  • Ich finde es immer noch schade wie wenig Seiten dies aktuell unterstützen.
    Ich weiß die meisten haben noch etwas Zeit bis Ende Juni, aber man muss die Frist doch nicht immer voll ausnutzen und dann 2-3 nachbessern.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39280 Artikel in den vergangenen 8429 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven