Apple stellt ein eigenes Single-Sign-On-System vor und jeder macht “ohhhh toll”. Manchmal ist es nicht ganz so einfach mit dem Konzern aus Cupertino. In der diesjährigen Entwickler-Konferenz WWDC stellte Apple einen eigenen “Login with Apple”-Button vor und das Internet sowie der ein oder andere Kollege von Payment & Banking dreht durch.
Ganze 5 (!!) Jahre nachdem Facebook den “Login with Facebook”-Button vorstellte glaubt Apple nun, das Thema Single-Sign On (SSO) als “neu” verkaufen zu können. Mit welchem Argument hat Facebook damals den Login-Knopf verkauft? Genau mit dem Thema Privacy (https://techcrunch.com/2014/04/30/facebook-anonymous-login/). Selbst da fiel Apple kein neues Argument ein. Also eine halbe Dekade nachdem Facebook, Google und Twitter ähnliche Funktionalitäten im Markt etabliert haben jetzt also auch Apple. Warum?
Daten, Daten, Daten
Ein Schelm, wer tatsächlich Apple auf den Leim geht und glaubt, dass es dem Obst-Konzern um die Privatsphäre der Kunden geht. Man achte bitte auf das Klein-gedruckte in der Ankündigung. Wenn man als Entwickler seine Apps ab bald nicht mit dem “Login with Apple”-Knopf ausstattet, dann ist es vorbei mit der Marketing-Liebe von Apple (https://developer.apple.com/news/?id=06032019j).
Im Klartext heißt das, dass wenn man noch weiterhin im AppStore gefeatured werden will oder aber in seiner App bisher schon andere SSO-Anbieter eingebunden hat, dann MUSS man als App-Anbieter jetzt auch “Login with Apple” anbieten! Warum ist das wichtig? Relativ einfach, aus mehreren Gründen.
Wenn man als App-Anbieter “Marketing-Liebe” von Apple bekommt (und seine App gefeatured wird) ist das der Unterschied ob die App dutzende Male oder Millionen Mal heruntergeladen wird. Zweitens: Bisher hat Apple bei den Apps die andere SSO-Anbieter wie Facebook, Google oder Twitter-Logins genutzt haben, leider keinerlei Nutzerdaten gesehen – schon doof (und wie war das mit dem Privatsphäre-Argu-ment?). Der Austausch der Profil-Daten zwischen SSO-Anbieter und App-Anbieter findet nämlich Backend-to-Backend (sprich: außerhalb des Smartphones) statt. Last but not least ist jeder iOS-Nutzer natürlich automatisch schon mit seiner Apple-ID eingeloggt (sonst kann man ja nichts im AppStore kaufen). Außerdem wird damit der “Login with Apple” deutlich einfacher, da der redirect zu Facebook, Google und Twitter sowie die dortige Eingabe der Login-Daten entfällt.
Sicherheit
Damit keiner den Braten riecht, hat Apple dann noch eine klassische Nebelkerze im Sinne von E-Mail-Tokens gezündet. Apple generiert auf Wunsch für den Nutzer eine neue E-Mail-Proxy-Adresse, die dann dem App-Anbieter als E-Mail weitergegeben wird – tadaaa! Und wer liest ab sofort alle E-Mails mit? Korrekt, Apple.
Und weil Apple das mit dem Data-Mining nicht so besonders gut kann, haben die jetzt sogar eine Zuordnung welche Proxy-E-Mail zu welchem iCloud-Account (und damit Nutzer) gehört und was da so an Kommunikation zwischen App-Anbieter und Kunden passiert. Aber aber aber, dann sieht Apple doch auch ob der böse App-Anbieter die Daten weiterverkauft!
Totaler Unfug!
Danke, Apple
Jeder Spammer, der auch nur einen Funken Stolz hat, hat fünf Minuten nach der Ankündigung von Apple das pipifax Skript geschrieben, um Trillionen (Verzeihung zehn Quadrillionen) 10stelliger hexadezimaler UserIds (echt jetzt) zu generieren. Es gibt exakt 10e16 super toller geheimer Apple-Token-E-Mails oder wie auch immer man diesen Witz nennen will.
Weil Apple dann auch noch so schlau ist und nachweislich mit E-Mail nicht wirklich viel anfangen kann (me.com oder iCloud Mail anyone?), hat man dann gleich noch eine statische Domain dafür verwendet (@privaterelay.apppleid.com). Glückwunsch, Sie haben gerade diese Domain verbrannt… Jesus – einmal mit Profis arbeiten.
Aber aber aber, ist doch Apple. Ja genau und damit hat Apple gerade jedem Spammer / Hacker / Phisher gesagt, eine von der wie oben aufgeführte Mail führt zu einer Weiterleitung zu einem E-Mail-Account mit einem nachweislich verbundenem Apple-ID-Konto – happy hunting! Apple hat gerade den feuchten Traum eines jeden Spear-Phishers gelauncht.
„Apple hat gerade den feuchten Traum eines jeden Spear-Phishers gelauncht.“
Danke Apple.
https://media.giphy.com/media/4EF5xIO5yiivWh4gGn/giphy.gif
Erinnert sich noch jemand an das iCloud-Desaster, bei dem die ganzen privaten Fotos aus den iCloud Speichern heruntergeladen wurden?
(https://en.wikipedia.org/wiki/ICloud_leaks_of_celebrity_photos)
Wenn man also mit trivialsten Mitteln über Spam an die neuen super privaten Apple-Email Adressen die echte eMail-Adresse ermittelt, dann braucht man nur noch das Passwort. Und wie wir aus dem letzten deutschen Hack (https://www.tagesschau.de/inland/deutsche-politiker-gehackt-101.html) gelernt haben, waren die ja nicht sooo schwer und falls doch – bitte schön hier gibt‘s mal 773 Millionen Passwörter (https://www.heise.de/security/meldung/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht-4279375.html).
Was Apple mit den eMail Tokens gerade gemacht hat ist mit einem Wort unverantwortlich und mitnichten sicher oder dient dem Schutz der Privatsphäre.
Fazit:
Wie so oft bei Apple-Ankündigungen muss man etwas genauer hinschauen und darf sich nicht durch das brillante Marketing des Konzerns in die Irre führen lassen. Apple ist aufgefallen, dass ihnen trotz des AppStores und Millionen von Apps immens wichtige Daten verloren gehen. Deshalb wird versucht, durch den Start von “Login with Apple” Boden gut zu machen und gleichzeitig die Daumenschrauben bei den App-Anbietern zu nutzen. Die angebliche Privatsphäre-schützende neue E-Mail ist totaler Humbug und maskiert vielleicht die E-Mail der Nutzer gegenüber App-Anbietern – exponiert aber jeden Apple-Kunden für gezielte Angriffe.
3 Kommentare
[…] zwei sich streiten freut sich der Dritte. Nach den beiden Analysen der Kollegen Jochen Siegert und Rafael Otero, was ein Sign in with Apple für den Markt bedeutet – oder eben nicht, schauen wir jetzt […]
[…] beim Thema Apple Sign-In, als ich dessen Marktwirkung als sehr positiv einschätzte und Rafael laut “Veto” rief und die Situation ganz anders wahrnahm. Nun haben wir (warum eigentlich immer bei Apple-Themen?) eine ähnliche Situation. Maik glaubt […]
Lieber Rafael, das ist ja eine sehr alternative Sicht der Fakten.
Hier 4 kurze Anmerkungen:
1. Es ist nicht entscheidend erster am Markt zu sein, sondern der Beste. Siehe iPhone (unter 18 % Marktanteil, über 80 % Marktgewinn)
2. „Mit welchem Argument hat Facebook damals den Login-Knopf verkauft? Genau mit dem Thema Privacy“
-> Sie haben es ja selbst erkannt. Ziel der Maßnahme Apple’s ist es, die Privatsphäre seiner Kunden zu schützen. So wie Facebook das auch vor hat(te).
Jedoch möchte Apple, im Gegensatz zu Facebook, NICHT alle öffentlichen Profil Informationen (inkl. Klarnamen, ID, ggf. Freundesliste, Fotos etc.) der App/Plattform (bei der Single-Sign-On genutzt werden soll) zur Verfügung stellen. Aber das wissen Sie, Sie werden ja den verlinkten Artikel gelesen haben und dadurch zum Schluss gekommen sein das Apple hier „nur“ eine vergleichbare Qualität bietet.
3. „Wenn man als Entwickler seine Apps ab bald nicht mit dem “Login with Apple”-Knopf ausstattet“
-> dann passiert gar nichts. Es sei dem, man bietet andere Sign-On Dienste an. Erneut, siehe Ihrer Quellenangabe. (Apple). Auch ich finde das grenzwertig, wird immerhin die Freiheit des Entwicklers zum Wohle des Kunden (größere SSO-Auswahl) beschnitten.
4. „Last but not least ist jeder iOS-Nutzer natürlich automatisch schon mit seiner Apple-ID eingeloggt […] damit der “Login with Apple” deutlich einfacher, da der redirect zu Facebook, Google und Twitter sowie die dortige Eingabe der Login-Daten entfällt.“
-> Das ist so auch nicht ganz richtig. Die Passwörter zu den anderen Single-Sign-On Diensten können im iPhone hinterlegt werden, dadurch würde ähnlicher Komfort entstehen. Alternativ lässt sich aber auch der Login mittels beispielsweise „melde dich in der Facebook App an“ anstoßen. Dafür einfach alternativ zu „mittels Website einloggen“ die andere Option anwählen. (Dort ist man ggf. bereits eingeloggt.)
Beim Abschnitt „Sicherheit“ musste ich leider abbrechen zu lesen, unzumutbar.
(Es ist eine Leichtigkeit alle derartigen Phishing E-Mails zu filtern, da Apple niemals an diese E-Mails Login-E-Mails etc. senden würde.)…