Sicherheitslücke in OAuth 2.0 macht mehr als eine Milliarde Apps angreifbar

Forscher der Chinese University of Hongkong haben eine Schwachstelle in der Implementierung des Anmeldediensts OAuth 2.0 entdeckt. Angreifer sind dadurch unter Umständen in der Lage, Nutzerkonten zu kapern und App-Daten auszulesen. Den Forschern zufolge sind davon mehr als 41 Prozent von 600 untersuchten Apps im Google Play Store betroffen, die zusammen mehr als eine Milliarde Mal heruntergeladen wurden, wie TechRepublic berichtet.

OAuth erlaubt es Nutzern, sich bei Diensten und Apps anzumelden. Statt jedoch ein separates Konto anzulegen, können sie per OAuth ein vorhandenes Konto eines anderen Anbieters wie Google oder Facebook verwenden. Eine App fragt dann beispielsweise ab, ob die eingegebenen Anmeldedaten den bei Google hinterlegten Informationen entsprechen, das dann einen Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Allerdings prüfen nicht alle Apps, ob die Signatur, die beispielsweise Google zusammen mit dem Token sendet, gültig ist. Die erwähnten rund 41 Prozent verzichten auf diese Prüfung – diese Apps wissen also nicht mit Sicherheit, ob die erhaltene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.

Um die Schwachstelle zu testen, richteten die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu einen gefälschten Log-in-Server ein. Mit dessen Hilfe waren sie in der Lage, anfällige Apps zu übernehmen. Dafür erzeugten sie zuerst mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server schließlich übermittelte die präparierten Anmeldedaten an die App, die dann einen vollständigen Zugriff auf das Profil des Opfers erlaubte.

Welche Apps betroffen sind beziehungsweise OAuth 2.0 falsch implementieren, geht aus dem Bericht der Forscher nicht hervor. Je nach App wäre es aber möglich, persönliche Daten Dritter einzusehen, Beiträge in deren Namen zu veröffentlichen oder auf deren Rechnung Produkte zu kaufen.

Google und Facebook haben die Forscher inzwischen über die Sicherheitslücke informiert. Erstere arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um das Leck zu schließen. Betroffen sind nicht nur Android-Apps, sondern auch Anwendungen für Apples Mobilbetriebssystem iOS.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Covid-Hacker attackieren E-Mail-Konten

Mit getürkten Informationen über die Covid-Variante Omikron verstärken Hacker ihre Angriffe auf E-Mail-Konten, erklärt Dr.…

5 Stunden ago

Bedrohung durch Cybercrime-as-a-Service

Drei Tipps zur Abwehr von Ransomware-Attacken, die als Cybercrime-as-a-Service (CaaS) gestartet werden, geben die Experten…

6 Stunden ago

Edge Computing für smarte Städte

Kommunen sind gefordert, die Lebensqualität ihrer Bürger zu erhöhen. Edge Computing ist dabei der Schlüssel…

12 Stunden ago

Trendthema Network as a Service

Network as a Service (NaaS) hat das Zeug, traditionelle Netzwerkinfrastrukturen zu revolutionieren. Die digitale Transformation…

12 Stunden ago

Backup verteidigt gegen Ransomware

Erpressern wird es früher oder später gelingen, in ein Unternehmensnetzwerk einzudringen. Deswegen hat Backup als…

12 Stunden ago

Angreifen erlaubt! Ethisches Hacking stellt Netzwerksicherheit auf die Probe

Die Mehrzahl der Unternehmen in Deutschland verfügt heute über eine IT-Abteilung und ein unternehmenseigenes Netzwerk…

13 Stunden ago