„Sign in with Apple“: Bug ist 100.000 US-Dollar wert

Gast-Autor · 03.06.20

Gast-Autor
Schon seit letztem Jahr könnt ihr zum Login auf diversen Internetseiten eure Apple-ID nutzen. Dadurch entstand eine praktische Alternative zur Anmeldung per Facebook oder Google.

„Sign in with Apple“ enthielt jedoch eine bislang unbekannte Sicherheitslücke. Entdeckt wurde diese vom Entwickler Bhavuk Jain.
Schwachstelle bereits behoben

Bei der Anmeldung mit der Apple-ID wird nach Zustimmung durch den User die Mailadresse an den jeweiligen Drittanbieter übermittelt. Dies startet dann eine Anfrage auf den Apple-Servern. Der Server wiederum sendet eine Antwort in Form eines JWT (JSON Web Token) oder eines vom Server generierten Codes. Das funktionierte aber mit jeder beliebigen Mailadresse. Bhavuk Jain hatte den Fehler an Apple gemeldet und erhielt dafür eine Prämie von 100.000 US-Dollar.

via appleinsider.com

Den Artikel im Magazin lesen.

Benutzer 239228 · 03.06.20

Wow. 😲

WulleWuu · 03.06.20

Kenne keine Seite bei der ich jemals dieses Sign in with Apple hätte nutzen können?

Benutzer 239228 · 03.06.20

Doch, ich sehe es immer öfter.

MichaNbg · 03.06.20

Kunststück. Apple zwingt alle ja wieder in ihr System. Das wird jede immer häufiger sehen, weil Übergangsfristen auslaufen.

Jan Gruber · 04.06.20

Perfekte Diskussion bis hier her *gg*. Ich kenne welche, es werden immer mehr, weil Devs dazu gezwungen sind =)
Seite ist nur vielleicht etwas falsch. Geht primär um Apps. Aber ja es geht auch für Webseiten, ist da aber gefühlt noch sehr selten

MichaNbg · 04.06.20

Jan Gruber schrieb:
Perfekte Diskussion bis hier her *gg*. Ich kenne welche, es werden immer mehr, weil Devs dazu gezwungen sind =)
Seite ist nur vielleicht etwas falsch. Geht primär um Apps. Aber ja es geht auch für Webseiten, ist da aber gefühlt noch sehr selten

Wer es in die App einbaut bzw. einbauen muss, muss es auch auf seiner Website implementieren. Sonst sperrst ja User einseitig aus.

Übrigens auch das größte Problem bei sign in with Apple. Mal kurz auf einem anderen Gerät einloggen?

Jan Gruber · 04.06.20

MichaNbg schrieb:
Wer es in die App einbaut bzw. einbauen muss, muss es auch auf seiner Website implementieren. Sonst sperrst ja User einseitig aus.

Übrigens auch das größte Problem bei sign in with Apple. Mal kurz auf einem anderen Gerät einloggen?

Das müssen ja nicht immer kommunizierende Gefäße sein. Zb Apfeltalk: Wir haben nur ein direktes Login, darum brauchen wirs in beiden nicht. Zb die App die ich gerade baue: Ich hab auf der Webseite gar keinen Login 🤷‍♂️ Und oft gibts ja nur ne App oder nur ne Webpage, darum im Web, meiner Meinung nach, deutlich weniger verbreitet

Suche

Suche

„Sign in with Apple“: Bug ist 100.000 US-Dollar wert

Gast-Autor

Redakteur

Benutzer 239228

Gast

WulleWuu

Celler Dickstiel

Benutzer 239228

Gast

MichaNbg

Bittenfelder Apfel

Jan Gruber

Chefredakteur Magazin und Podcasts

MichaNbg

Bittenfelder Apfel

Jan Gruber

Chefredakteur Magazin und Podcasts

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)