Ein Hacker hat eine Sicherheitslücke in Apples Login-System gefunden.
„Sign in with Apple“ soll eine sichere Alternative zu den bekannten Logins über Facebook und Google sein. Der Sicherheitsforscher Bhavuk Jain hat einen Fehler entdeckt, über den sich Nutzer-Accounts übernehmen lassen konnten.
Zugriff auf Accounts dritter möglich
Über den Bug konnten Hacker eine beliebige Email-Adresse angeben und einen Zugriffs-Token generieren. Dadurch konnte Zugriff auf Opfer-Accounts gewonnen werden.
An Apple gemeldet und Prämie erhalten
Nach einer internen Untersuchung gab Apple an, dass der Bug nie ausgenutzt worden sei. Der Sicherheitsforscher hat aber im Rahmen des Bug-Bounty-Programms eine Prämie in Höhe von 100.000 Dollar für seinen Fund erhalten (danke Marcus B.).