Sicherheitslücke in OAuth 2.0 und OpenID gefunden

Marcel Am 03.05.2014 veröffentlicht Lesezeit etwa 1:48 Minuten

covert-redirect-provider

Wang Jing, Student an der Nanyang Technological University in Singapur, hat nach dem Bekanntwerden des OpenSSL-Heartbleed-Lecks, eine weitere schwere Sicherheitslücke entdeckt, diesmal in den Authentifizierungsmethoden OAuth 2.0 und OpenID. Die als „Covert Redirect“ („Heimliche Umleitung“) benannte Sicherheitslücke ermöglicht es Angreifern, dem Nutzer einen echt aussehenden Login-Screen unterzujubeln und sich so Zugriff auf die bereitgestellten Daten zu verschaffen.

Das gefährliche daran: Die Sicherheitslücke besitzt – anders als bisher bekannte Fishing-Versuche – eine legitime Domainadresse, kann also über einen Blick in die URL-Zeile des Browsers nicht oder nur sehr schwer entlarvt werden. Auf OAuth 2.0 und OpenID bieten inzwischen zahlreiche Webdienste um einen direkten Login in andere Dienste und Apps zu ermöglichen, darunter auch Google, Facebook, Microsoft und Co.

So ist es möglich, dem Nutzer eine Mail mit einem speziell präparierten Link zukommen zu lassen, ein Klick auf diesen öffnet eben wie gesagt eine legitime Adresse samt entsprechendem Logo. Autorisiert der Nutzer dann diese Anfrage und loggt sich in den Dienst ein, so werden die Daten nicht an die vermeintliche App weitergeleitet, sondern gelangen eben in den Besitz des Angreifers. Je nachdem, welche Daten abfragt werden, bekommt dieser somit also E-Mail-Adresse, Geburtsdatum, Kontaktlisten und dergleichen. Ebenso ist es möglich, den Nutzer nach dem Login auf eine beliebige Webseite, welche unter Umständen Malware verbreitet, weiterzuleiten.

Die Lösung des Problems könnte aber – wenn es überhaupt einmal eine geben sollte – eine langwierige Sache sein. Wang Jing hat bereits etliche größere Anbieter der Loginmethoden angeschrieben und über die gefundene Sicherheitslücke aufgeklärt, hierbei gab es jedoch unterschiedliche Aussagen. Im Hause Google beobachtet man das Problem, Microsoft ist sich keiner Schuld bewusst und schiebt die Sicherheitslücke an Drittanbieter ab.

Lediglich Facebook scheint hier ehrlich zu sein und gibt an, dass es sich dabei um ein grundsätzliches Problem von OAuth 2.0 und OpenID handelt – möchte man nicht eine umfangreiche Whitelist mit sämtlichen nicht-schädlichen Apps pflegen, ist die Sicherheitslücke nicht „mal eben so“ zu beheben. Im Grunde dürften sich sämtliche Gegenmaßnahmen negativ auf die Nutzererfahrung auswirken, was natürlich keiner der Dienste in Kauf nehmen möchte – und so bleibt es hierbei scheinbar beim „kleineren Übel“ für die Anbieter.

So bleibt eigentlich nur die Möglichkeit, auf OAuth 2.0 oder OpenID als Login-Methode für Drittanbieter Dienste und Apps zu verzichten oder genauestens darauf zu achten, auf was man klickt. Hat man keine explizite Autorisierung angestoßen, sollte man die geöffneten Tabs umgehend schließen und darauf hoffen, dass sich nicht doch irgendwo ein falscher Link eingepfercht hat.

Quelle Wang Jing via Caschys Blog

Artikel teilen

Kaufempfehlung*

  • CarlinKit 3.0 Wireless CarPlay Adapter für werkseitig verkabelte CarPlay-Fahrzeuge, rotes UI-Interface-Upgrade, kompatibel mit Audi/ Porsche/Volvo/Mercedes/VW/KIA/Hyundai, Online-Upgrade, IOS15
  • Neu ab 78,99 €
  • Auf Amazon kaufen*

2 Kommentare vorhanden

„So bleibt eigentlich nur die Möglichkeit, auf OAuth 2.0 oder OpenID [..] zu verzichten“

Ich erlaube es mir mal den oben Zitierten Satz zu Korrigieren:
„So bleibt eigentlich nur die Möglichkeit, auf keine Phishing-Links zu klicken.“

Aber hey. Hauptsache das Internet wird nun wieder ein Stück gefährlicher dargestellt.

Ne, Marcel nimm’s mir nicht übel. Mich nerven die Medien Allgemein die nun wiedermal etwas schlechtes und Angsteinflösendes zu schreiben haben

    Naja, ein Phishing-Link ist direkt aus der URL ersichtlich. Ist bei der entsprechenden OAuth-URL zwar ebenso möglich, da aber etliche Paragraphen dranhängen ist es wohl nur für jene ersichtlich, die wirklich Ahnung von der Sache haben. Siehe Screenshot. Zumal hier keine offizielle Seite vorgegaukelt wird, sondern die Sache offiziell über Facebook/Google/whatever läuft…

    Ich meine es gab diesen Hinweis auch schonmal vor etlicher Zeit, ist eben eher ein grundsätzliches Problem, dennoch würde ich es nicht mit dem „einfachen“ Phishing gleichsetzen.

    Es geht sich ja auch nicht um „Angsteinflösendes“, ein Hinweis auf die eben bestehende Problematik sollte aber dennoch erlaubt sein.

Schreibe einen Kommentar

Schreibe eine Antwort

⚠ Mit dem Nutzen des Kommentarbereiches erklärst du dich mit der Datenschutzerklärung einverstanden.