Schwere Sicherheitslücke in OAuth und OpenID entdeckt

Ein Sicherheitsforscher von der Universität Nanyang in Singapur hat eine schwere Sicherheitslücke im Protokoll OAuth 2.0 und dem Authentifizierungsverfahren OpenID entdeckt, die er „Covert Redirect“ (ungefähr „heimliche Umleitung“) nennt. Angreifer können Anwendern damit einen Log-in-Bildschirm unterjubeln, der eine legitime Domainadresse verwendet, aber sich selbst die Daten verschaffen.

Anschließend ist es laut Wang Jing möglich, den Nutzer auf eine beliebige Website zu schicken, wo ein zusätzlicher Angriff (etwa per Drive-by Download) erfolgen kann. OAuth oder OpenID sind etwa bei Facebook, Google, LinkedIn und Microsoft sowie zahlreichen weiteren hochkarätigen Sites im Einsatz.

Je nachdem, wonach die Website fragt, kommen die Angreifer also an E-Mail-Adresse, Geburtsdatum, Kontaktlisten oder sogar die vollständige Kontrolle des Kontos. Wang hat die genannten Firmen kontaktiert. Facebook sandte einen Kommentar, man sei sich „der mit OAuth 2.0 verbundenen Risiken bewusst“, aber wenn man „nicht jede auf die Plattform zugreifende App in eine weiße Liste aufnehmen“ wolle, sei dies „nichts, was man kurzfristig beheben“ könne.

Google, das OpenID nutzt, informierte Wang, es beobachte das Problem. LinkedIn versprach einen anstehenden Blogbeitrag zum Thema. Microsoft dagegen schrieb, man habe das erforscht, und die Schwachstelle befinde sich auf einer fremden Site – nicht auf einer eigenen.

Wang erklärt: „Diese Schwachstelle zu patchen ist leichter gesagt als getan. Wenn alle Fremdanwendungen sich auf eine Whitelist einschränken, gäbe es keine Möglichkeit eines Angriffs. In der Realität tun dies aber viele aus verschiedenen Gründen nicht. Damit sind Systeme auf Basis von OAuth 2.0 und OpenID höchst anfällig.“

Dies bestätigt Jeremiah Grossman von WhiteHat Security nach Durchsicht von Wangs Bericht. „Ich kann es nicht zu 100 Prozent sagen, aber ich könnte schwören, dass ich schon einmal einen Bericht zu einer sehr ähnlichen oder der gleichen Schwachstelle in OAuth gelesen habe. Es scheint so, als sei das ein ‚Wontfix‘ – eine bekannte Schwachstelle, die man nicht zu beheben bereit ist. Das wäre auch nicht leicht möglich, und effiziente Gegenmaßnahmen würden sich negativ auf die Nutzererfahrung auswirken. Ein weiteres Beispiel dafür, dass es im Internet keine Sicherheit gibt und dass die bestehenden Großmächte kein Interesse daran haben, grundlegende Schwächen zu beheben.“

Von Covert Redirect betroffene Anbieter (Diagramm: Wang Jing)

Ein „sehr reales Problem“ nennt Chris Wysopal von Veracode auf Nachfrage durch CNET die Schwachstelle. OAuth 2.0 sei offenbar anfällig für Phishing und Redirect-Angriffe. „Wenn man bedenkt, welches Vertrauen die Leute Facebook und anderen großen OAuth-Anbietern entgegenbringen, wird es meiner Einschätzung nach sehr leicht möglich sein, Zugang zu persönlichen Daten von Nutzern zu bekommen.“

Anwendern raten die Sicherheitsforscher, bei allen Links vorsichtig zu sein, die sie direkt zu einem Facebook- oder Google-Log-in führen. Gegen eventuelle Redirect-Angriffe helfe, den jeweiligen Tab umgehend zu schließen.

Trotz der Namensähnlichkeit zu OpenSSL hat die Schwachstelle in OAuth und OpenID nichts mit Heartbleed zu tun – und ist auch nicht ganz so schwerwiegend. Zwar handelt es sich in den genannten Fällen um offene Techniken, doch sollte man deshalb nicht vermuten, dass offene Techniken und Programme anfälliger sind als proprietäre. Das hat gerade erst wieder Microsoft mit einer Zero-Day-Lücke im Internet Explorer widerlegt. Anders als bei Heartbleed und dem Internet Explorer jedoch scheint sich für die OAuth-Lücke derzeit noch niemand zuständig zu fühlen.

[mit Material von Aloysius Low und Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago