Sicherheitsforscher: Yahoo ignoriert Schwachstelle durch Open-Redirect-URLs

Yahoo kann nur eine erwünschte Funktionalität sehen. Eine unvalidierte offene Weiterleitung zählt jedoch zu den zehn verbreitetsten Schwachstellen. Sie wird vor allem von Spammern und Phishern ausgenutzt, die das Vertrauen der Nutzer gewinnen wollen.

Der 17-jährige deutsche Schüler und Sicherheitsforscher Robert Kugler hat vergeblich versucht, Yahoo auf eine Open-Redirect-Schwachstelle aufmerksam zu machen. Die Internetfirma erklärte den Bug vielmehr zum Feature: „Wir sind uns dieser Funktionalität auf unserer Site bewusst, und sie arbeitet wie erwünscht.“ Yahoos „Sicherheitskontakt“ bedankte sich immerhin für die Einsendung und forderte auch zu weiteren Einsendungen auf.

Yahoo

Dem Schüler aus Baden-Württemberg, der in seiner Freizeit im Internet nach Sicherheitsfehlern sucht und sie regelmäßig findet, entging damit wieder einmal eine ausgelobte Prämie. Bei Paypal meldete er in diesem Jahr eine schwerwiegende Cross-Site-Scripting-Lücke (XSS), ging aber leer aus. In einer E-Mail wurde er zunächst wegen seines Alters von der Teilnahme am Prämienprogramm ausgeschlossen – später erklärte der Bezahldienst, Kugler habe die Schwachstelle nicht als Erster entdeckt. Microsoft hingegen bedankte sich für die Meldung eines Fehlers, bat aber um Stillschweigen. Gute Erfahrungen machte der umtriebige Schüler bislang vor allem mit Mozilla, das ihn für gemeldete Sicherheitsprobleme mit Prämien in Höhe von 1500 Dollar sowie 3000 Dollar belohnte.

Die bei Yahoo entdeckte Sicherheitslücke sieht Kugler selbst als nicht so kritisch wie etwa eine XSS-Lücke an, wie er in der Mailingliste Full Disclosure schreibt. Sie könnte jedoch von Spammern genutzt werden und auch Yahoos Ruf schaden, da Links auf die Website von Yahoo zu führen scheinen, tatsächlich aber zu einer ganz anderen Site umleiten können. CNN beispielsweise konnte schon Erfahrungen mit einer ähnlichen Schwachstelle sammeln, die Spammern gerade recht kam.

Auch wenn Weiterleitungen manchmal für eine gute Nutzererfahrung hilfreich sein können, gehört es zu einer guten Sicherheitspraxis, die Richtigkeit der URL zu validieren und eine Verschleierung des tatsächlichen Ziels zu vermeiden. Während Yahoo in der nicht validierten offenen Weiterleitung kein Problem sehen will, führt das Open Web Application Security Project (OWASP) die Open-Redirect-Schwachstelle in seiner Top-10-Liste der wichtigen und verbreiteten Sicherheitslücken auf. „Die Vermeidung solcher Fehler ist extrem wichtig“, mahnt das Sicherheitsprojekt dazu an, „da sie ein beliebtes Ziel von Phishern sind, die das Vertrauen des Nutzers zu gewinnen versuchen.“

[mit Material von Michael Lee, ZDNet.com.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Internet, Secure-IT, Webentwicklung, Yahoo

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Sicherheitsforscher: Yahoo ignoriert Schwachstelle durch Open-Redirect-URLs

Kommentar hinzufügen
  • Am 30. November 2013 um 0:51 von Judas Ischias

    Das ist aber mehr als armselig von Yahoo, erst eine Prämie aussetzen und dann unter fadenscheinigen Gründen die Auszahlung zu verweigern. Da kann man Yahoo nur wünschen, dass viele nette Leute die Firma mal richtig zuspammen.

  • Am 29. November 2013 um 19:10 von Hans

    Yahoo – was für ein Ruf, den Yahoo schon seit 15 Jahren hat?

    Aber selbst Google interessiert sich nicht wirklich über Hinweise. Man kann auch dort lange picken bis man auf …. stoßt.
    Wobei bei einer Sache man aufgrund des Schweigens trotz mehrfachem Hinweis man fast den Verdacht haben könnte, die Malware, die Google dem Suchenden unterschieben will, gewollt ist.
    btw. findet ihr in Youtube …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *