Sicherheitslücke in OAuth 2.0 macht mehr als eine Milliarde Apps angreifbar

41 Prozent von 600 untersuchten Apps ermöglichen die Übernahme von Nutzerkonten. Sie prüfen nicht die Echtheit der von Google oder Facebook übermittelten Anmeldedaten. Hacker können je nach App unter Umständen auch im Namen ihrer Opfer Einkäufe tätigen.

Forscher der Chinese University of Hongkong haben eine Schwachstelle in der Implementierung des Anmeldediensts OAuth 2.0 entdeckt. Angreifer sind dadurch unter Umständen in der Lage, Nutzerkonten zu kapern und App-Daten auszulesen. Den Forschern zufolge sind davon mehr als 41 Prozent von 600 untersuchten Apps im Google Play Store betroffen, die zusammen mehr als eine Milliarde Mal heruntergeladen wurden, wie TechRepublic berichtet.

OAuth (Bild: OAuth)OAuth erlaubt es Nutzern, sich bei Diensten und Apps anzumelden. Statt jedoch ein separates Konto anzulegen, können sie per OAuth ein vorhandenes Konto eines anderen Anbieters wie Google oder Facebook verwenden. Eine App fragt dann beispielsweise ab, ob die eingegebenen Anmeldedaten den bei Google hinterlegten Informationen entsprechen, das dann einen Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Allerdings prüfen nicht alle Apps, ob die Signatur, die beispielsweise Google zusammen mit dem Token sendet, gültig ist. Die erwähnten rund 41 Prozent verzichten auf diese Prüfung – diese Apps wissen also nicht mit Sicherheit, ob die erhaltene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.

Um die Schwachstelle zu testen, richteten die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu einen gefälschten Log-in-Server ein. Mit dessen Hilfe waren sie in der Lage, anfällige Apps zu übernehmen. Dafür erzeugten sie zuerst mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server schließlich übermittelte die präparierten Anmeldedaten an die App, die dann einen vollständigen Zugriff auf das Profil des Opfers erlaubte.

Welche Apps betroffen sind beziehungsweise OAuth 2.0 falsch implementieren, geht aus dem Bericht der Forscher nicht hervor. Je nach App wäre es aber möglich, persönliche Daten Dritter einzusehen, Beiträge in deren Namen zu veröffentlichen oder auf deren Rechnung Produkte zu kaufen.

Google und Facebook haben die Forscher inzwischen über die Sicherheitslücke informiert. Erstere arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um das Leck zu schließen. Betroffen sind nicht nur Android-Apps, sondern auch Anwendungen für Apples Mobilbetriebssystem iOS.

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Authentifizierung, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitslücke in OAuth 2.0 macht mehr als eine Milliarde Apps angreifbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *