Schwere Sicherheitslücke in OAuth und OpenID entdeckt

Ein Sicherheitsforscher von der Universität Nanyang in Singapur hat eine schwere Sicherheitslücke im Protokoll OAuth 2.0 und dem Authentifizierungsverfahren OpenID entdeckt, die er „Covert Redirect“ (ungefähr „heimliche Umleitung“) nennt. Angreifer können Anwendern damit einen Log-in-Bildschirm unterjubeln, der eine legitime Domainadresse verwendet, aber sich selbst die Daten verschaffen.

Anschließend ist es laut Wang Jing möglich, den Nutzer auf eine beliebige Website zu schicken, wo ein zusätzlicher Angriff (etwa per Drive-by Download) erfolgen kann. OAuth oder OpenID sind etwa bei Facebook, Google, LinkedIn und Microsoft sowie zahlreichen weiteren hochkarätigen Sites im Einsatz.

Je nachdem, wonach die Website fragt, kommen die Angreifer also an E-Mail-Adresse, Geburtsdatum, Kontaktlisten oder sogar die vollständige Kontrolle des Kontos. Wang hat die genannten Firmen kontaktiert. Facebook sandte einen Kommentar, man sei sich „der mit OAuth 2.0 verbundenen Risiken bewusst“, aber wenn man „nicht jede auf die Plattform zugreifende App in eine weiße Liste aufnehmen“ wolle, sei dies „nichts, was man kurzfristig beheben“ könne.

Google, das OpenID nutzt, informierte Wang, es beobachte das Problem. LinkedIn versprach einen anstehenden Blogbeitrag zum Thema. Microsoft dagegen schrieb, man habe das erforscht, und die Schwachstelle befinde sich auf einer fremden Site – nicht auf einer eigenen.

Wang erklärt: „Diese Schwachstelle zu patchen ist leichter gesagt als getan. Wenn alle Fremdanwendungen sich auf eine Whitelist einschränken, gäbe es keine Möglichkeit eines Angriffs. In der Realität tun dies aber viele aus verschiedenen Gründen nicht. Damit sind Systeme auf Basis von OAuth 2.0 und OpenID höchst anfällig.“

Dies bestätigt Jeremiah Grossman von WhiteHat Security nach Durchsicht von Wangs Bericht. „Ich kann es nicht zu 100 Prozent sagen, aber ich könnte schwören, dass ich schon einmal einen Bericht zu einer sehr ähnlichen oder der gleichen Schwachstelle in OAuth gelesen habe. Es scheint so, als sei das ein ‚Wontfix‘ – eine bekannte Schwachstelle, die man nicht zu beheben bereit ist. Das wäre auch nicht leicht möglich, und effiziente Gegenmaßnahmen würden sich negativ auf die Nutzererfahrung auswirken. Ein weiteres Beispiel dafür, dass es im Internet keine Sicherheit gibt und dass die bestehenden Großmächte kein Interesse daran haben, grundlegende Schwächen zu beheben.“

Von Covert Redirect betroffene Anbieter (Diagramm: Wang Jing)

Ein „sehr reales Problem“ nennt Chris Wysopal von Veracode auf Nachfrage durch CNET die Schwachstelle. OAuth 2.0 sei offenbar anfällig für Phishing und Redirect-Angriffe. „Wenn man bedenkt, welches Vertrauen die Leute Facebook und anderen großen OAuth-Anbietern entgegenbringen, wird es meiner Einschätzung nach sehr leicht möglich sein, Zugang zu persönlichen Daten von Nutzern zu bekommen.“

Anwendern raten die Sicherheitsforscher, bei allen Links vorsichtig zu sein, die sie direkt zu einem Facebook- oder Google-Log-in führen. Gegen eventuelle Redirect-Angriffe helfe, den jeweiligen Tab umgehend zu schließen.

Trotz der Namensähnlichkeit zu OpenSSL hat die Schwachstelle in OAuth und OpenID nichts mit Heartbleed zu tun – und ist auch nicht ganz so schwerwiegend. Zwar handelt es sich in den genannten Fällen um offene Techniken, doch sollte man deshalb nicht vermuten, dass offene Techniken und Programme anfälliger sind als proprietäre. Das hat gerade erst wieder Microsoft mit einer Zero-Day-Lücke im Internet Explorer widerlegt. Anders als bei Heartbleed und dem Internet Explorer jedoch scheint sich für die OAuth-Lücke derzeit noch niemand zuständig zu fühlen.

[mit Material von Aloysius Low und Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.