Sign in with Apple – echt jetzt?

Apple stellt ein eigenes Single-Sign-On-System vor und jeder macht “ohhhh toll”. Manchmal ist es nicht ganz so einfach mit dem Konzern aus Cupertino. In der diesjährigen Entwickler-Konferenz WWDC stellte Apple einen eigenen “Login with Apple”-Button vor und das Internet sowie der ein oder andere Kollege von Payment & Banking dreht durch.

Ganze 5 (!!) Jahre nachdem Facebook den “Login with Facebook”-Button vorstellte glaubt Apple nun, das Thema Single-Sign On (SSO) als “neu” verkaufen zu können. Mit welchem Argument hat Facebook damals den Login-Knopf verkauft? Genau mit dem Thema Privacy (https://techcrunch.com/2014/04/30/facebook-anonymous-login/). Selbst da fiel Apple kein neues Argument ein. Also eine halbe Dekade nachdem Facebook, Google und Twitter ähnliche Funktionalitäten im Markt etabliert haben jetzt also auch Apple. Warum?

Daten, Daten, Daten

Ein Schelm, wer tatsächlich Apple auf den Leim geht und glaubt, dass es dem Obst-Konzern um die Privatsphäre der Kunden geht. Man achte bitte auf das Klein-gedruckte in der Ankündigung. Wenn man als Entwickler seine Apps ab bald nicht mit dem “Login with Apple”-Knopf ausstattet, dann ist es vorbei mit der Marketing-Liebe von Apple (https://developer.apple.com/news/?id=06032019j).

Im Klartext heißt das, dass wenn man noch weiterhin im AppStore gefeatured werden will oder aber in seiner App bisher schon andere SSO-Anbieter eingebunden hat, dann MUSS man als App-Anbieter jetzt auch “Login with Apple” anbieten! Warum ist das wichtig? Relativ einfach, aus mehreren Gründen.

Wenn man als App-Anbieter “Marketing-Liebe” von Apple bekommt (und seine App gefeatured wird) ist das der Unterschied ob die App dutzende Male oder Millionen Mal heruntergeladen wird. Zweitens: Bisher hat Apple bei den Apps die andere SSO-Anbieter wie Facebook, Google oder Twitter-Logins genutzt haben, leider keinerlei Nutzerdaten gesehen – schon doof (und wie war das mit dem Privatsphäre-Argu-ment?). Der Austausch der Profil-Daten zwischen SSO-Anbieter und App-Anbieter findet nämlich Backend-to-Backend (sprich: außerhalb des Smartphones) statt. Last but not least ist jeder iOS-Nutzer natürlich automatisch schon mit seiner Apple-ID eingeloggt (sonst kann man ja nichts im AppStore kaufen). Außerdem wird damit der “Login with Apple” deutlich einfacher, da der redirect zu Facebook, Google und Twitter sowie die dortige Eingabe der Login-Daten entfällt.

Sicherheit

Damit keiner den Braten riecht, hat Apple dann noch eine klassische Nebelkerze im Sinne von E-Mail-Tokens gezündet. Apple generiert auf Wunsch für den Nutzer eine neue E-Mail-Proxy-Adresse, die dann dem App-Anbieter als E-Mail weitergegeben wird – tadaaa! Und wer liest ab sofort alle E-Mails mit? Korrekt, Apple.

Und weil Apple das mit dem Data-Mining nicht so besonders gut kann, haben die jetzt sogar eine Zuordnung welche Proxy-E-Mail zu welchem iCloud-Account (und damit Nutzer) gehört und was da so an Kommunikation zwischen App-Anbieter und Kunden passiert. Aber aber aber, dann sieht Apple doch auch ob der böse App-Anbieter die Daten weiterverkauft!

Totaler Unfug!

Danke, Apple

Jeder Spammer, der auch nur einen Funken Stolz hat, hat fünf Minuten nach der Ankündigung von Apple das pipifax Skript geschrieben, um Trillionen (Verzeihung zehn Quadrillionen) 10stelliger hexadezimaler UserIds (echt jetzt) zu generieren. Es gibt exakt 10e16 super toller geheimer Apple-Token-E-Mails oder wie auch immer man diesen Witz nennen will.

Weil Apple dann auch noch so schlau ist und nachweislich mit E-Mail nicht wirklich viel anfangen kann (me.com oder iCloud Mail anyone?), hat man dann gleich noch eine statische Domain dafür verwendet (@privaterelay.apppleid.com). Glückwunsch, Sie haben gerade diese Domain verbrannt… Jesus – einmal mit Profis arbeiten.

Danke Apple.

https://media.giphy.com/media/4EF5xIO5yiivWh4gGn/giphy.gif

Erinnert sich noch jemand an das iCloud-Desaster, bei dem die ganzen privaten Fotos aus den iCloud Speichern heruntergeladen wurden?

(https://en.wikipedia.org/wiki/ICloud_leaks_of_celebrity_photos)

Wenn man also mit trivialsten Mitteln über Spam an die neuen super privaten Apple-Email Adressen die echte eMail-Adresse ermittelt, dann braucht man nur noch das Passwort. Und wie wir aus dem letzten deutschen Hack (https://www.tagesschau.de/inland/deutsche-politiker-gehackt-101.html) gelernt haben, waren die ja nicht sooo schwer und falls doch – bitte schön hier gibt‘s mal 773 Millionen Passwörter (https://www.heise.de/security/meldung/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht-4279375.html).

Was Apple mit den eMail Tokens gerade gemacht hat ist mit einem Wort unverantwortlich und mitnichten sicher oder dient dem Schutz der Privatsphäre.

Fazit:

Wie so oft bei Apple-Ankündigungen muss man etwas genauer hinschauen und darf sich nicht durch das brillante Marketing des Konzerns in die Irre führen lassen. Apple ist aufgefallen, dass ihnen trotz des AppStores und Millionen von Apps immens wichtige Daten verloren gehen. Deshalb wird versucht, durch den Start von “Login with Apple” Boden gut zu machen und gleichzeitig die Daumenschrauben bei den App-Anbietern zu nutzen. Die angebliche Privatsphäre-schützende neue E-Mail ist totaler Humbug und maskiert vielleicht die E-Mail der Nutzer gegenüber App-Anbietern – exponiert aber jeden Apple-Kunden für gezielte Angriffe.