Informatiker der Universität Trier haben auf schwerwiegende Sicherheitslücken im offenen Autorisierungsprotokoll OAuth hingewiesen, das von vielen Diensten eingesetzt wird. Ihnen zufolge können sich Angreifer darüber unbefugt Zugriff auf Benutzerkonten dieser Dienste und Daten anderer Anwender verschaffen.
Nachdem die zuständige IETF-Arbeitsgruppe informiert worden war, hat die OAuth Working Group die Fehler eingeräumt und zusammen mit den Trierer Wissenschaftlern Daniel Fett, Ralf Küsters und Guido Schmitz einen Lösungsansatz ausgearbeitet. Die beiden zuvor unbekannten Angriffsmöglichkeiten stecken auch im neuen Authentifizierungssystem OpenID Connect und sind nicht nur im Labor, sondern auch in der Praxis ausnutzbar.
Im Rahmen ihrer Analyse von OAuth haben die Trierer Sicherheitsforscher nicht nur die beiden Schwachstellen gefunden, sondern gleichzeitig auch dargelegt, dass es keine anderen geben kann. Diese Aussage untermauern sie mit einem mathematischen Beweis.
Allerdings war es nicht das erste Mal, dass in OAuth und OpenID gravierende Sicherheitslücken entdeckt wurden. Schon im Mai 2014 hatte ein Sicherheitsforder der Universität Nanyang in Singapur eine „Covert Redirect“ genannte Schwachstelle ausfindig gemacht. Sie ermöglichte es Angreifern, Anwendern einen Anmeldebildschirm unterzujubeln, der eine legitime Domainadresse verwendete, um sich deren Daten zu verschaffen. Anschließend konnten sie den Nutzer für einen zusätzlichen Angriff – etwa per Drive-by Download – auf eine beliebige Website weiterleiten.
Daher raten Sicherheitsforscher Anwendern generell, bei Links vorsichtig zu sein, die direkt zu einem Facebook- oder Google-Log-in führen. Gegen eventuelle Redirect-Angriffe helfe, den jeweiligen Browsertab umgehend zu schließen.
[mit Material von Peter Marwan, ITespresso.de]
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
