Trierer Forscher entdecken kritische Lücke in Autorisierungsprotokoll OAuth

Sie erlaubte es Angreifern, sich Zugang zu Benutzerkonten und persönlichen Daten zu verschaffen. OAuth kommt bei vielen Angeboten zum Einsatz, die etwa eine Autorisierung via "Log-in mit Facebook" oder "Anmelden mit Google" durchführen. Inzwischen wurde die Schwachstelle behoben.

Informatiker der Universität Trier haben auf schwerwiegende Sicherheitslücken im offenen Autorisierungsprotokoll OAuth hingewiesen, das von vielen Diensten eingesetzt wird. Ihnen zufolge können sich Angreifer darüber unbefugt Zugriff auf Benutzerkonten dieser Dienste und Daten anderer Anwender verschaffen.

Logo von OAuth (Bild: OAuth)OAuth kommt bei vielen Angeboten zum Einsatz, die beispielsweise eine Autorisierung via „Log-in mit Facebook“ oder „Anmelden mit Google“ durchführen. Das vom Nutzer ohnehin schon verwendete Facebook- oder Google-Konto dient dabei zur Legitimation gegenüber dem Drittangebot. Der Vorteil ist, dass Nutzer sich keinen weiteren Benutzernamen und kein neues Passwort ausdenken und merken müssen.

Nachdem die zuständige IETF-Arbeitsgruppe informiert worden war, hat die OAuth Working Group die Fehler eingeräumt und zusammen mit den Trierer Wissenschaftlern Daniel Fett, Ralf Küsters und Guido Schmitz einen Lösungsansatz ausgearbeitet. Die beiden zuvor unbekannten Angriffsmöglichkeiten stecken auch im neuen Authentifizierungssystem OpenID Connect und sind nicht nur im Labor, sondern auch in der Praxis ausnutzbar.

Im Rahmen ihrer Analyse von OAuth haben die Trierer Sicherheitsforscher nicht nur die beiden Schwachstellen gefunden, sondern gleichzeitig auch dargelegt, dass es keine anderen geben kann. Diese Aussage untermauern sie mit einem mathematischen Beweis.

Allerdings war es nicht das erste Mal, dass in OAuth und OpenID gravierende Sicherheitslücken entdeckt wurden. Schon im Mai 2014 hatte ein Sicherheitsforder der Universität Nanyang in Singapur eine „Covert Redirect“ genannte Schwachstelle ausfindig gemacht. Sie ermöglichte es Angreifern, Anwendern einen Anmeldebildschirm unterzujubeln, der eine legitime Domainadresse verwendete, um sich deren Daten zu verschaffen. Anschließend konnten sie den Nutzer für einen zusätzlichen Angriff – etwa per Drive-by Download – auf eine beliebige Website weiterleiten.

Daher raten Sicherheitsforscher Anwendern generell, bei Links vorsichtig zu sein, die direkt zu einem Facebook- oder Google-Log-in führen. Gegen eventuelle Redirect-Angriffe helfe, den jeweiligen Browsertab umgehend zu schließen.

[mit Material von Peter Marwan, ITespresso.de]

HIGHLIGHT

Produktiver arbeiten mit Unified Communications & Collaboration

Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.

Themenseiten: Secure-IT, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Trierer Forscher entdecken kritische Lücke in Autorisierungsprotokoll OAuth

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *