Bug in ‘Sign in with Apple’ maakte overnemen van accounts mogelijk

Bug bij Sign in with Apple

De man kreeg $100.000 voor zijn ontdekking via Apple’s Security Bounty Program. Apple heeft de bug aan serverzijde opgelost; je hoeft dus geen beveiligingsupdates te installeren.

De bug deed zich specifiek voor bij apps van derden, die gebruik maakten van Sign in with Apple en geen extra beveiligingsmaatregelen hadden genomen.

Sign in with Apple (‘Log in met Apple’) maakt voor de authenticatie gebruik van een JWT (JSON Web Token), of een code die wordt gegenereerd door een Apple-server. Apple geeft gebruikers vervolgens de mogelijkheid om het e-mailadres van hun Apple ID te delen, of een willekeurig uitziend e-mailadres waarop je wel bereikbaar bent. Daarbij wordt gebruik gemaakt van een JWT.

Jain ontdekte dat op deze manier toegang tot een account mogelijk was. In een interview met Hacker News legt hij uit hoe gevaarlijk dit is: een kwaadwillende zou het complete account kunnen overnemen.

Verplicht voor ontwikkelaars
Het vervelende is dat Apple de functie nogal opdringt: ontwikkelaars zijn verplicht om Sign in with Apple te ondersteunen, als ze ook andere sociale logins via Facebook en dergelijke aanbieden.

Apps die er gebruik van maken zijn Dropbox, Spotify, Airbnb en Giphy. Dat wil overigens niet zeggen dat deze accounts nu in gevaar zijn.

Bekijk ook

Sign in with Apple: alles over het veilig aanmelden via Apple

Met Sign in with Apple (Log in met Apple) kun je bij diensten en apps inloggen met je Apple-gegevens. Maar wat zijn de voordelen van deze dienst en wat kun je ermee? In dit artikel lees je alles over het aanmelden via Apple in apps en diensten.