Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Die Nutzung von IT-Funktionen, bei denen es um die persönlichen Daten der Nutzer, wie Login-Informationen oder ähnliches geht, ist stark vom Vertrauen der User abhängig. Umso ärgerlicher ist es, wenn bekannt wird, dass diese Funktionen fehlerhaft sind oder Sicherheitslücken aufweisen. Dies ist blöderweise nun auch bei "Sign in With Apple" aufgetreten. So hat der Sicherheitsforscher Bhavuk Jain im April eine kritische Sicherheitslücke in der Apple-Funktion entdeckt, durch dies es möglich war, dass ein Angreifer die Kontrolle über einen hiermit verbundenen Nutzer-Account erlangt. Der Bug betraf Drittanbieter-Anwendungen, die zwar "Sign in With Apple", jedoch keine weiteren Sicherheitsfunktionen implementiert hatten.

Die von Jain entdeckte Sicherheitslücke in "Sign in With Apple" basiert auf der Anmeldung eines Nutzers mithilfe eines "JSON Web Token" (JWT) oder einem von einem Apple-Server generierten Code. Anschließend fragt Apple den Nutzer, ob er seine tatsächliche E-Mail Adresse oder eine zufällig generierte iCloud-Adresse nutzen möchte, woraufhin der JWT generiert wird, um sich an dem jeweiligen Dienst anzumelden. Jain entdeckte dann, dass für den Fall, dass jeweils ein JWT sowohl für die normale E-Mail Adresse als auch für die iCloud-Adresse generiert und durch Apples Public Key verifiziert wurde, das Token als korrekt gekennzeichnet wurde und somit ein JWT erzeugt werden konnte, um sich hiermit Zugriff zu einem mit "Sign in With Apple" gesichert Account zu verschaffen. Gegenüber The Hacker News betonte Jain noch einmal die große Gefahr, die von dem Bug ausging.

Apple stellte daraufhin Untersuchungen an und stellte fest, dass die Lücke bislang nicht ausgenutzt wurde. Inzwischen wurde sie selbstverständlich behoben und Bhavuk Jain im Rahmen von Apple Security Bounty Program mit 100.000,- US-Dollar für die Entdeckung belohnt.

Keine Frage, Apples biometrische Authentifizierungsmethoden Face ID und Touch ID sind in der Kombination mit der Secure Enclave die derzeit wohl sicherste Methode, sich bei Diensten anzumelden und Transaktionen zu autorisieren. Mit iOS 13, iPadOS 13 und macOS Catalina springt diese Authentifizierungsmethode nun auch in den Webbrowser. So lässt Apple inzwischen seine Beta-Tester auch die Anmeldung bei iCloud.com per FaceID oder Touch ID testen. Navigiert man in Safari auf einem iPhone, iPad oder Mac mit einer instellierten Beta der kommenden Betriebssystemupdates zu beta.icloud.com, kann man sich dort mit der jeweils zur Verfügung stehenden biometrischen Methode in seinen Account einloggen. Interessant ist dabei, dass Apple in diesem Fall offenbar auch keine Zwei-Faktor-Authentifizierung fordert.

Möglicherweise testet Apple auf diese Weise auch seine neue Anmeldemethode "Sign in with Apple", zu der auch die Entwickler noch während der Betaphase in diesem Sommer Zugang erhalten sollen. Wie eingangs erwähnt, ist die Anmeldung an Diensten über Face ID oder Touch ID nicht nur komfortabler, sondern auch sicherer als die manuelle Eingabe der Account-Informationen.

Mit der Vorstellung seines Log-In Dienstes "Sign in with Apple" sorgte Apple auf der WWDC für eine echte Überraschung. Man möchte hiermit eine sicherere Alternativen zu den bereits bekannten Diensten "Sign in with Facebook" oder "Sign in with Google" darstellen, die auf der eigenen Apple ID basiert und unter anderem die Herausgabe der eigenen echten E-Mail Adresse an die Diensteanbieter überflüssig macht. Starten wird der Dienst dann im Herbst, gemeinsam mit der Freigabe von macOS Catalina und iOS 13. Es gibt inzwischen allerdings auch kritische Stimmen zu dem Angebot, wobei nicht ganz klar ist, ob diese auf echte Probleme mit "Sign in with Apple" abzielen oder eher unter die Überschrift "Lobbyarbeit" gehören.

So lobt die OpenID Foundation (OIDF) Apple in einem offenen Brief an Software-Chef Craig Federighi zwar dafür, dass das Unternehmen bei der Umsetzung von "Sign in with Apple" größtenteils auf OpenID Connect setzt, ein standardisiertes Protokoll für die sichere Anmeldung auf verschiedenen Webseiten, bei unterschiedlichen Apps oder auch Diensten, allerdings kritisiert man auch die Unterschiede und Besonderheiten, die sich Apple (wie eigentlich immer herausnimmt). Die OIDF beruft sich bei ihrer Kritik auf potenzielle Sicherheitsrisiken für die Daten der Nutzer:

The current set of differences between OpenID Connect and Sign In with Apple reduces the places where users can use Sign In with Apple and exposes them to greater security and privacy risks. It also places an unnecessary burden on developers of both OpenID Connect and Sign In with Apple. By closing the current gaps, Apple would be interoperable with widely-available OpenID Connect Relying Party software.

In ihrem Brief ruft die OpenID Foundation Apple dazu auf, die Abweichungen von OpenID Connect zu beheben, die man feinsäuberlich in einem PDF-Dokument aufführt. Zudem solle sich Apple der OpenID-Zertifizierung stellen, um die Kompatibilität mit "Sign in with Apple" bestätigen zu lassen und der OpenID Foundation beizutreten. Zu den Mitgliedern gehören dort bereits Google, Microsoft, PayPal und weitere Schwergewichte des Silicon Valley.

Grundsätzlich wurde die Einführung von "Sign In with Apple" auf der Keynote zur Eröffnung der WWDC am Montagabend von den meisten Beobachtern mit jeder Menge Wohlwollen aufgenommen. Inzwischen gibt es jedoch auch durchaus kritische Stimmen, die sich allerdings weniger gegen den Dienst als solches richten, als vielmehr gegen Apples Politik, wie Entwickler ihn künftig in Apps und auf Webseiten verbauen sollen. Während es ab Herbst verpflichtend sein wird, "Sign In with Apple" als Alternative anzbieten, wenn man auch "Sign In with Facebook" und/oder "Sign In with Google" integriert hat, handelt es sich bei einer weiteren Bedingung eher um einen Vorschlag oder eine Bitte, die aus den sogenannten Human Interface Guidelines hervorgeht.

Dort heißt es, dass bei der Verwendung von "Sign In with Apple" darauf geachtet werden sollte, dass diese Option als erste angeboten wird. Zwar sind die angesprochenen Guidelines das was sie sind, nämlich Richtlinien. Unter Entwicklern gilt es aber als ungeschriebenes Gesetz, dass man sich daran halten sollte, möchte man unter Umständen nicht in Probleme beim Zulassungsprozess für den AppStore laufen.

Während sämtliche technischen Grundlagen von "Sign In with Apple" uneingeschränkt willkommen sind, macht Cupertino an dieser Stelle unnötigerweise ein Fass auf. So sieht man sich in letzter Zeit ohnehin bereits mit verschiedenen Vorwürfen der Marktbehinderung konfrontiert. Eine Situation, die sich hierdurch sicherlich nicht verbessern wird.