‘Sign in with Apple’ bevat nog kritieke fouten, zegt OpenID Foundation

Door: Night - 4 reacties
OpenID Foundation uit kritiek op Sign in With Apple

Apple is een groot voorstander van privacy. Het bedrijf wordt hier alom voor geprezen. Op WWDC 2019 bewees Apple dat het de veiligheid van zijn klanten naast de interne toepassingen ook als een service ziet. Dat bleek wel toen Craig Federighi ‘Sign in with Apple’ presenteerde. Het bedrijf wil hiermee een veiligere inlog-optie bieden in iOS- en macOS-apps, dan die van Google en Facebook, om zodoende de privacy te waarborgen.

Om een beveiligde aanmeldingen mogelijk te maken, heeft Apple een deel van het¬†OpenID Connect protocol¬†gebruikt. Maar volgens de OpenID Foundation kan ‚Äď ironisch genoeg ‚Äď juist deze implementatie gebruikers mogelijk blootstellen aan hack-aanvallen.

OpenID Foundation uit kritiek op ‘Sign in With Apple’¬†in open brief

OpenID Connect is een veelgebruikt identiteitsprotocol dat gebouwd is op OAuth 2.0. Dit maakt externe aanmelding bij applicaties mogelijk. Dit protocol is ontwikkeld door de OpenID Foundation. Het wordt gebruikt door onder andere Google, Microsoft, PayPal, Facebook en Twitter. Maar niet door Apple, en dat is wellicht gelijk de reden van de klachten die de OpenID Foundation heeft over Apple’s implementatie.

In een open brief aan Apple’s Senior VP van Software Engineering Craig Federighi, juicht de OpenID Foundation het bedrijf toe met de stap die het heeft gezet met ‘Sign in With Apple’. De Foundation uitte echter ook een flink punt van kritiek. Volgens de brief heeft Apple ervoor gekozen slechts bepaalde delen van het OpenID Connect protocol te gebruiken in plaats van dit in zijn geheel te implementeren. Doordat er nu twee partijen aan het protocol werken denkt de Foundation dat door de verschillen in aanpak, de Apple-gebruiker mogelijk blootgesteld zou kunnen worden aan aanvallen van buitenaf.

Kritiek door OpenID Foundation op 'Sign in with Apple'
Craig Federighi presenteerde ‘Sign in with Apple’ tijdens de WWDC 2019 aan het publiek. Maar er lijkt kritiek te zijn (klik/tap voor groter)

Kritiek terecht, of…

Sommigen kunnen ook andere motieven proeven in de oproep van de Foundation om de mogelijke problemen te verhelpen. De Foundation wil natuurlijk graag dat Apple de volledige specificaties implementeert. Daarnaast hoopt de Foundation waarschijnlijk ook dat Apple zich door de brief aangemoedigd ziet om zich als lid te registreren. Ook ziet het graag ook dat Apple adverteert dat ‘Sign in with Apple’ compatibel en uitwisselbaar is met andere OpenID Connect-partners. En d√°t is iets wat Apple waarschijnlijk niet graag zal doen.

‘Sign in with Apple’ biedt Apple-gebruikers een handige en snelle manier om zich binnen apps aan te melden, zoals dat nu al kan als je een Google- of Facebook-account hebt. Maar dan wel met een strenge controle op de privacy. Wanneer het wordt ge√Įmplementeerd, moeten alle apps, die aanmeldingen via derden aanbieden, ook de Apple inlog-button plaatsen. Het testen van ‘Sign in with Apple’ start deze zomer. De volledige release zal naar verwachting tegelijkertijd met de lancering van iOS 13, dit najaar, plaatsvinden.

Reacties

4 reacties
  • Profielfoto
    Elduderino

    Waar zijn de kritieke fouten? Ik lees alleen maar OpenID niet geheel blij is met de manier hoe Apple ID wordt ge√Įmplementeerd. Met daarbij wat aannames, dat de arme Apple gebruiker u wordt blootgesteld aan aanvallen van buitenaf.

    tja zo ken ik er ook nog wel een paar. If this then else….theorie√ęn

     

  • Profielfoto
    Alexander Henket

    Halve implementatie en een Applesmaakje aan een staand protocol lijken mij terechte kritiekpunten. Dat deed Microsoft vroeger ook

  • Profielfoto
    Alexander Henket

    @Elduderino als je link naar de brief volgt zul je ook een link naar de onderbouwing van de veiligheidsrisico’s tegenkomen. Beetje jammer van Apple dit

  • Profielfoto
    Ome Kor

    Hoezo? √Č√©n en ander is nog in beta, dus als er technisch probleem is¬†dan kan het nog aangepast worden.

    Wat betreft dat Applesmaakje, dat is met de hele beveiliging van de iPhone, de Mac en iCloud het geval. Ik vind dat ze een goede track record hebben op het gebied van beveiliging, dus ik vertrouw erop dat de implementatie goed is. Meer kan ik niet doen, hoewel ik wel weet dat er in het verleden diverse fouten boven water zijn gekomen op dat gebied.