{"id":154605,"date":"2020-06-02T07:57:26","date_gmt":"2020-06-02T05:57:26","guid":{"rendered":"https:\/\/www.ifun.de\/?p=154605"},"modified":"2020-06-02T07:57:26","modified_gmt":"2020-06-02T05:57:26","slug":"mit-apple-id-anmelden-massiv-verwundbar-apple-lobt-100-000-aus","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/mit-apple-id-anmelden-massiv-verwundbar-apple-lobt-100-000-aus-154605\/","title":{"rendered":"&#8222;Mit Apple-ID anmelden&#8220; massiv verwundbar: Apple lobt $100.000 aus"},"content":{"rendered":"<p>Der von Apple f\u00fcr Drittentwickler bereitgestellte Login-Mechanismus &#8222;<a href=\"https:\/\/support.apple.com\/de-de\/HT204053\">Mit Apple-ID anmelden<\/a>&#8220; war \u00fcber Monate hinweg massiv verwundbar. Eine Schwachstelle in Apples Server-Logik gestattete Dritten die \u00dcbernahme von beliebigen &#8222;Mit Apple-ID anmelden&#8220;-Accounts.<\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/flow_apple_auth_1500.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-medium wp-image-154607\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/flow_apple_auth_1500-500x296.jpg\" alt=\"Flow Apple Auth 1500\" width=\"500\" height=\"296\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/flow_apple_auth_1500-500x296.jpg 500w, https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/flow_apple_auth_1500-700x414.jpg 700w, https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/flow_apple_auth_1500-768x455.jpg 768w, https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/flow_apple_auth_1500.jpg 1500w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><\/p>\n<p>Dies berichtet der Entwickler Bhavuk Jain, der die \u00d6ffentlichkeit am Pfingstwochenende \u00fcber die von ihm <a href=\"https:\/\/bhavukjain.com\/blog\/2020\/05\/30\/zeroday-signin-with-apple\/\">aufgesp\u00fcrte Schwachstelle<\/a> informierte und Apples Security Team bereits vor mehreren Wochen auf die problematische Handhabe der Logins aufmerksam machte.<\/p>\n<p>Apple best\u00e4tigte den Fehler, von dem namhafte Applikationen wie etwa Dropbox, Spotify und Airbnb betroffen waren, berichtigte diesen und sch\u00fcttete im Rahmen des sogenannten &#8222;<a href=\"https:\/\/developer.apple.com\/security-bounty\/\">Apple Security Bounty<\/a>&#8222;-Programms satte $100.000 an den 27-j\u00e4hrigen Tippgeber aus.<\/p>\n<p>Laut Jain reichte das Wissen um die E-Mail-Adresse eines \u00fcber &#8222;Mit Apple-ID anmelden&#8220; erstellen Accounts aus, um sich einen validen Token von Apples Login-Servern ausstellen zu lassen, mit dem der Account anschlie\u00dfend h\u00e4tte \u00fcbernommen werden k\u00f6nnen.<\/p>\n<p>Nach Angaben Apples sollen keine Accounts durch die inzwischen geschlossene Schwachstelle kompromittiert worden sein.<\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.ifun.de\/mit-apple-id-anmelden-massiv-verwundbar-apple-lobt-100-000-aus-154605\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/flow_apple_auth_1500-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"Flow Apple Auth 1500\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Der von Apple f\u00fcr Drittentwickler bereitgestellte Login-Mechanismus &#8222;Mit Apple-ID anmelden&#8220; war \u00fcber Monate hinweg massiv verwundbar. Eine Schwachstelle in Apples Server-Logik gestattete Dritten die \u00dcbernahme von beliebigen &#8222;Mit Apple-ID anmelden&#8220;-Accounts. Dies berichtet der Entwickler Bhavuk Jain, der die \u00d6ffentlichkeit am Pfingstwochenende \u00fcber die von ihm aufgesp\u00fcrte Schwachstelle informierte und Apples Security Team bereits vor mehreren [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":154607,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3],"tags":[1608,531,88,92],"class_list":["post-154605","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-apple","tag-apple-id","tag-bug","tag-security","tag-sicherheit"],"acf":[],"aioseo_notices":[],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/sing-inwith-apple.jpg"],"subheadline":["Account-\u00dcbernahme m\u00f6glich"],"rest_api_enabler":{"featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2020\/06\/sing-inwith-apple.jpg","subheadline":"Account-\u00dcbernahme m\u00f6glich"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/154605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=154605"}],"version-history":[{"count":1,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/154605\/revisions"}],"predecessor-version":[{"id":154608,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/154605\/revisions\/154608"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/154607"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=154605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=154605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=154605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}