Sign in with Apple – echt jetzt?

Sign in with Apple - echt jetzt?

Apple stellt ein eigenes Single-Sign-On-System vor und jeder macht “ohhhh toll”. Manchmal ist es nicht ganz so einfach mit dem Konzern aus Cupertino. In der diesjährigen Entwickler-Konferenz WWDC stellte Apple einen eigenen “Login with Apple”-Button vor und das Internet sowie der ein oder andere Kollege von Payment & Banking dreht durch.

Ganze 5 (!!) Jahre nachdem Facebook den “Login with Facebook”-Button vorstellte glaubt Apple nun, das Thema Single-Sign On (SSO) als “neu” verkaufen zu können. Mit welchem Argument hat Facebook damals den Login-Knopf verkauft? Genau mit dem Thema Privacy (https://techcrunch.com/2014/04/30/facebook-anonymous-login/). Selbst da fiel Apple kein neues Argument ein. Also eine halbe Dekade nachdem Facebook, Google und Twitter ähnliche Funktionalitäten im Markt etabliert haben jetzt also auch Apple. Warum?

Daten, Daten, Daten

Ein Schelm, wer tatsächlich Apple auf den Leim geht und glaubt, dass es dem Obst-Konzern um die Privatsphäre der Kunden geht. Man achte bitte auf das Klein-gedruckte in der Ankündigung. Wenn man als Entwickler seine Apps ab bald nicht mit dem “Login with Apple”-Knopf ausstattet, dann ist es vorbei mit der Marketing-Liebe von Apple (https://developer.apple.com/news/?id=06032019j).

Sign in with Apple - echt jetzt?

Im Klartext heißt das, dass wenn man noch weiterhin im AppStore gefeatured werden will oder aber in seiner App bisher schon andere SSO-Anbieter eingebunden hat, dann MUSS man als App-Anbieter jetzt auch “Login with Apple” anbieten! Warum ist das wichtig? Relativ einfach, aus mehreren Gründen.

Wenn man als App-Anbieter “Marketing-Liebe” von Apple bekommt (und seine App gefeatured wird) ist das der Unterschied ob die App dutzende Male oder Millionen Mal heruntergeladen wird. Zweitens: Bisher hat Apple bei den Apps die andere SSO-Anbieter wie Facebook, Google oder Twitter-Logins genutzt haben, leider keinerlei Nutzerdaten gesehen – schon doof (und wie war das mit dem Privatsphäre-Argu-ment?). Der Austausch der Profil-Daten zwischen SSO-Anbieter und App-Anbieter findet nämlich Backend-to-Backend (sprich: außerhalb des Smartphones) statt. Last but not least ist jeder iOS-Nutzer natürlich automatisch schon mit seiner Apple-ID eingeloggt (sonst kann man ja nichts im AppStore kaufen). Außerdem wird damit der “Login with Apple” deutlich einfacher, da der redirect zu Facebook, Google und Twitter sowie die dortige Eingabe der Login-Daten entfällt.

Sicherheit

Damit keiner den Braten riecht, hat Apple dann noch eine klassische Nebelkerze im Sinne von E-Mail-Tokens gezündet. Apple generiert auf Wunsch für den Nutzer eine neue E-Mail-Proxy-Adresse, die dann dem App-Anbieter als E-Mail weitergegeben wird – tadaaa! Und wer liest ab sofort alle E-Mails mit? Korrekt, Apple.

Sign in with Apple - echt jetzt?

Und weil Apple das mit dem Data-Mining nicht so besonders gut kann, haben die jetzt sogar eine Zuordnung welche Proxy-E-Mail zu welchem iCloud-Account (und damit Nutzer) gehört und was da so an Kommunikation zwischen App-Anbieter und Kunden passiert. Aber aber aber, dann sieht Apple doch auch ob der böse App-Anbieter die Daten weiterverkauft!


Totaler Unfug!

Danke, Apple

Jeder Spammer, der auch nur einen Funken Stolz hat, hat fünf Minuten nach der Ankündigung von Apple das pipifax Skript geschrieben, um Trillionen (Verzeihung zehn Quadrillionen) 10stelliger hexadezimaler UserIds (echt jetzt) zu generieren. Es gibt exakt 10e16 super toller geheimer Apple-Token-E-Mails oder wie auch immer man diesen Witz nennen will.

Weil Apple dann auch noch so schlau ist und nachweislich mit E-Mail nicht wirklich viel anfangen kann (me.com oder iCloud Mail anyone?), hat man dann gleich noch eine statische Domain dafür verwendet (@privaterelay.apppleid.com). Glückwunsch, Sie haben gerade diese Domain verbrannt… Jesus – einmal mit Profis arbeiten.

Aber aber aber, ist doch Apple. Ja genau und damit hat Apple gerade jedem Spammer / Hacker / Phisher gesagt, eine von der wie oben aufgeführte Mail führt zu einer Weiterleitung zu einem E-Mail-Account mit einem nachweislich verbundenem Apple-ID-Konto – happy hunting! Apple hat gerade den feuchten Traum eines jeden Spear-Phishers gelauncht.

„Apple hat gerade den feuchten Traum eines jeden Spear-Phishers gelauncht.“

Danke Apple.

https://media.giphy.com/media/4EF5xIO5yiivWh4gGn/giphy.gif

Erinnert sich noch jemand an das iCloud-Desaster, bei dem die ganzen privaten Fotos aus den iCloud Speichern heruntergeladen wurden?

(https://en.wikipedia.org/wiki/ICloud_leaks_of_celebrity_photos)

Wenn man also mit trivialsten Mitteln über Spam an die neuen super privaten Apple-Email Adressen die echte eMail-Adresse ermittelt, dann braucht man nur noch das Passwort. Und wie wir aus dem letzten deutschen Hack (https://www.tagesschau.de/inland/deutsche-politiker-gehackt-101.html) gelernt haben, waren die ja nicht sooo schwer und falls doch – bitte schön hier gibt‘s mal 773 Millionen Passwörter (https://www.heise.de/security/meldung/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht-4279375.html).

Was Apple mit den eMail Tokens gerade gemacht hat ist mit einem Wort unverantwortlich und mitnichten sicher oder dient dem Schutz der Privatsphäre.

Fazit:

Wie so oft bei Apple-Ankündigungen muss man etwas genauer hinschauen und darf sich nicht durch das brillante Marketing des Konzerns in die Irre führen lassen. Apple ist aufgefallen, dass ihnen trotz des AppStores und Millionen von Apps immens wichtige Daten verloren gehen. Deshalb wird versucht, durch den Start von “Login with Apple” Boden gut zu machen und gleichzeitig die Daumenschrauben bei den App-Anbietern zu nutzen. Die angebliche Privatsphäre-schützende neue E-Mail ist totaler Humbug und maskiert vielleicht die E-Mail der Nutzer gegenüber App-Anbietern – exponiert aber jeden Apple-Kunden für gezielte Angriffe.

Autor

  • Rafael Otero ist seit mehr als 15 Jahren im Payment- und Banking Bereich tätig. Nach mehreren Co-Founder Rollen im Fintech Bereich u.a. als Co-Founder bei payleven der globalen Kartenakzeptanz-Lösung für KMUs und Co-Founder Voice First – einer Strategie-Beratung / Agentur für Sprachassistenz-Lösungen im Bereich Finanzdienstleistungen, Mobility und VoiceCommerce.

    Seit Anfang 2020 ist er Managing Director bei der Deutschen Bank und dort als Chief Product Officer Teil der Corporate Bank. Rafael ist Business Angel/Board Member im Fintech und DeepTech-Umfeld.

Weitere interessante Beiträge

  • „Die Story hinter Request to Pay ist doch geil“

    „Die Story hinter Request to Pay ist doch geil“

    Seit drei Wochen ist Alexander Jäger CEO des Fintech-Pioniers Gini. Im Interview erklärt er, wie es zu dem Wechsel an…

  • Finanzbildung für alle: Wie Beyond Banking, Open Banking und Kooperationen auf dieses Ziel einzahlen

    Finanzbildung für alle: Wie Beyond Banking, Open Banking und Kooperationen auf dieses Ziel einzahlen

    Obwohl man es kaum glauben mag, auch in Deutschland fühlen sich immer noch zu viele Verbraucher:innen zum Thema eigenen Finanzen…

  • Macht euch auf die Socken.

    Macht euch auf die Socken.

    Die ExpeditionFinance als Mit-Initiator des Sockenkalenders bei Finance&Friends: weil es um Finanzbildung und Finanzwissen geht. Genauer gesagt: finanzielle Inklusion.

Newsletter
open close

Der beste Newsletter ever.

Wir versorgen dich täglich mit News, ausgewählten Artikeln und Kommentaren zu aktuellen Themen, die die Finanz-Branche bewegen. Jetzt anmelden!