LinkedIn: Sicherheitslücke bei der Anmeldung entdeckt

Der indische Sicherheitsforscher Rishi Narang hat eine gefährliche Sicherheitslücke im Business-Netzwerk LinkedIn gefunden. Sie ähnelt stark dem Sicherheitsproblem von Android bei der Nutzung von Terminen und Kontakten über ein Google-Konto, das drei Ulmer Forscher vor gut einer Woche nachgewiesen haben.

Wenn ein LinkedIn-Nutzer sein Kennwort über die SSL/TLS-verschlüsselte Seite eingegeben hat und erfolgreich authentifiziert wurde, leitet ihn das Business-Netzwerk auf eine unverschlüsselte Seite zurück. Anschließend erhält er ein Authentifizeirungstoken namens leo_auth_token und eine Session ID – beides als unverschlüsselte Cookies. Diese beiden Parameter lassen sich in einem unverschlüsselten WLAN, etwa einem öffentlichem Hotspot am Bahnhof oder im Hotel von jedermann mitschneiden.

Normalerweise könnte leicht entdeckt werden, wenn ein Angreifer versucht, eine mitgeschnittene Session ID zu missbrauchen. Narang stellte jedoch fest, dass das leo_auth_token alleine ausreicht, um sich unter falschem Namen bei LinkedIn anzumelden. Als Beweis dafür sendete er mit einem einfachen Unix-Shell-Script das abgefangene Authentifizierungstoken und die Session ID ajax:0000000000000000000. Das reichte dem Business-Netzwerk, um Narang unter falscher Identität Zugang zu gewähren.

Besonders gefährlich ist die Tatsache, dass das Authentifizierungstoken ein Jahr lang gültig ist. Das ist für diese Art der Authentifizierung grundsätzlich zu lang. Ferner geht LinkedIn eindeutig zu gelassen mit der Sicherheitslücke um. Als das Unternehmen Kenntnis von dem Problem erhielt, versprach es laut Informationen von Spiegel-Online zwar, die Lücke zu beseitigen, allerdings werde das einige Monate dauern. Google hat sein Problem hingegen innerhalb weniger Tage eliminiert.

In einem Video demonstriert Narang, dass nicht einmal das Ändern des Passworts das leo_auth_token ungültig macht. Wer den Verdacht hat, dass sein Token missbraucht wird, sollte sein Konto löschen und mit derselben E-Mail-Adresse neu einrichten. Das führt jedoch dazu, dass man sein Kontaktnetzwerk komplett neu aufbauen muss.

Realistisch betrachtet dürfte es noch zahlreiche weitere Webangebote mit ähnlichen Sicherheitslücken geben. Da immer mehr Nutzer persönliche Daten von sich und anderen in Clouddiensten wie Google Docs oder sozialen Netzen ablegen, ist es umso wichtiger, dass das Abgreifen von Token oder Hashwerten in unverschlüsselten Netzen, die wie ein Passwort zum Login verwendet werden können, unmöglich gemacht wird. Ähnliche Angriffe waren seinerzeit auch mit Novell Netware 2.x und frühen Version von Microsoft LAN Manager möglich. Diese Probleme wurden allerdings bereits Ende der 80er Jahre beseitigt.

Grundsätzlich sollten alle Zugriffe zu Clouddiensten, bei denen persönliche Daten gespeichert werden, nur verschlüsselt erfolgen. Die Anbieter verzichten jedoch aus Kostengründen darauf, da gleichzeitige Verschlüssung hunderter oder tausender Clientverbindungen eine hohe CPU-Last erzeugt, die sich mit modernen CPUs mit Hardware-Unterstützung für AES-Veschlüsselung jedoch verringern lässt. Derzeit werden zur Verschlüsselung meist teure Router vorgeschaltet, die sich um die SSL-Sitzungen kümmern.