OAuth 2.0 und OpenID: Sicherheitslücke gefunden

2. Mai 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Nach OpenSSL mit dem Heartbleed-Bug hat es anscheinend die nächste Open Source-Lösung getroffen. Die von Google, Facebook und unzähligen anderen Diensten genutzten Login-Verfahren via OpenID und OAuth sollen eine Sicherheitslücke aufweisen, wenn Anbieter die Implementierung nicht korrekt absichern. Die Sicherheitslücke, gefunden von Wang Jing, Student an der Nanyang Technological University, hört auf den Namen Covert Redirect und soll Angreifern das Ausspähen eurer Daten erlauben.

Bildschirmfoto 2014-05-02 um 18.48.32 Einige Dienste bieten das Login via Google, Twitter oder Facebook an und eben hier soll sich die Sicherheitslücke verbergen – nicht in der Lösung, wohl aber in der Implementierung der einzelnen Dienste.. Ein Angreifer könnte mit einem speziellen Phishing-Link das Opfer dazu bringen, sich via Facebook einzuloggen – hierzu bedient sich der Angreifer einer legitimen Adresse und eines legitimen App-Logos – stellt euch hier irgendeinen Dienst vor, zum Beispiel Foursquare oder ESPN.

Bildschirmfoto 2014-05-02 um 19.04.26

Autorisiert sich der Angegriffene via der Methode, so hat der Angreifer Zugriff auf Daten, die zum Beispiel bei Facebook hinterlegt sind. Prinzipiell werden also die Daten freigegeben, die die App beim Login beim OAuth- oder OpenID-Provider einfordert. Bei Facebook könnte das eure Telefonnummer sein, eure Mail-Adresse, euer Geburtstag oder ähnliches – auch das Weiterleiten auf eine mit Malware verseuchte Seite könnte möglich sein, oder das Verwalten eures Accounts.

Wang Jing kontaktierte bereits Facebook, von dort wurde ihm mitgeteilt, dass eine Behebung lange Zeit dauern könnte, man sei sich der Gefahr bewusst. Benutzer sollten in Zukunft sehr genau aufpassen, ob nach dem Klicken eines Links eine Seite dazu auffordert, sich via Facebook, Google und Co zu authentifizieren, wie man bei Cnet mitteilt. Heißt: jeder Brain 1.0-Nutzer sollte sicher sein.

Unternehmen, die die Methode anbieten, müssen jetzt bestenfalls Redirect-URLs registrieren, Linkedin hat Entwickler dahingehend schon aufgefordert. Interessant ist dahingehend, dass Google erste neulich mitteilte, dass man Entwickler zu OAuth 2.0 zwingen wollte. Wang schreibt in seinem Blog, wie die einzelnen Firmen geantwortet haben.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22911 Artikel geschrieben.