Schon seit letztem Jahr könnt ihr zum Login auf diversen Internetseiten eure Apple-ID nutzen. Dadurch entstand eine praktische Alternative zur Anmeldung per Facebook oder Google.

„Sign in with Apple“ enthielt jedoch eine bislang unbekannte Sicherheitslücke. Entdeckt wurde diese vom Entwickler Bhavuk Jain.

Schwachstelle bereits behoben

Bei der Anmeldung mit der Apple-ID wird nach Zustimmung durch den User die Mailadresse an den jeweiligen Drittanbieter übermittelt. Dies startet dann eine Anfrage auf den Apple-Servern. Der Server wiederum sendet eine Antwort in Form eines JWT (JSON Web Token) oder eines vom Server generierten Codes. Das funktionierte aber mit jeder beliebigen Mailadresse. Bhavuk Jain hatte den Fehler an Apple gemeldet und erhielt dafür eine Prämie von 100.000 US-Dollar.

via appleinsider.com