Sicherheitslücke in OpenID und OAuth entdeckt
Kommentare

Wenn es nicht gerade Nachrichten über die Geheimdienste sind, die unsere Sicherheit und privacy im Netz bedrohen, dann werden reihenweise Sicherheitslücken entdeckt. Nachdem Heartbleed die Massen in Panik versetzen wollte, wurde am letzten Freitag die nächste große Sicherheitslücke in sehr populären Netzanwendungen ausfindig gemacht. Ein Bug in den Authentifizierungs-Anwendungen OpenID und OAuth 2.0, die für den Login auf diverse Websiten verwendet werden, darunter Facebook, LinkedIn, Twitter, Instagram, Yahoo und Google. Wang Jing ein Doktorand der Nanyang Technological University entdeckte den Bug „Covert Redirect“, was übersetzt „geheime/ heimliche Umleitung“ bedeutet und der CEO von WhiteHat Security hat dessen Existenz bestätigt.

OAuth und dessen Alternative OpenID wird verwendet, wenn sich ein User über den Facebook, Twitter oder Google Account auf einer weiteren Seite einloggen möchte, ein Vorgang der theoretisch sicherer ist, als einen neuen Account zu erstellen oder eines der Passwörter auf einer fremden Seite einzugeben. Wenn also einer Anwendung das Zugangsrecht für ein Profil gegeben wird – zum Beispiel indem man Hootsuite authorisiert den Twitter Account zu nutzen – wird durch OAuth nicht das Passwort preis gegeben, sondern es werden ein Consumer Key und ein Consumer Secret erstellt, die eine passwörtähnliche Verbindung zwischen den beiden Anwendungen erstellen. Das eigentliche Twitterpasswort für den Nutzer bleibt dabei geheim. Etwas ähnliches geschieht bei der Autorisierung der User- und Profilinformationen die Hootsuite erhalten soll. OAuth hilft dabei nur bestimmte, für die App tatsächlich notwendige, Informationen weiterzugeben. Der User sieht, um welche es sich handelt und kann deren Weitergabe gestatten. Wenn die Informationen genehmigt sind, wird ein Access Token und ein Access Token Secret erstellt, die eine sichere Verbindung erstellen, aber alle nicht authorisierten Informationen blockieren.

Diese Vorgänge sind sowohl für User als auch für Webmaster komfortabel und wartungsarm, sodass die Technik sehr weit verbreitet ist. „Covert Redirect“ ermöglicht es Angreifern über die Authorisierungsfunktion einer App die Daten von Nutzern abzugreifen, indem Phishing Links eingebaut werden, die dafür sorgen, dass die Daten nicht an die App, sondern an die Angreifer gesendet werden. Andernfalls könnte der Bug auch dazu verwendet werden, User auf eine gleich aussehende andere Website weiterzuleiten, die jedoch die korrekte Adresse verwendet.

Schützen kann man sich nur, indem man entsprechende Redirect Seiten nicht verwendet und sofort schließt. Ansonsten hilft nur das übliche „Seid vorsichtig welcher Seite ihr im Netz vertraut.“

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -