Informatiker der Universität Trier haben auf schwerwiegende Sicherheitslücken im offenen Autorisierungsprotokoll OAuth hingewiesen, das von vielen Diensten eingesetzt wird. Ihnen zufolge können sich Angreifer darüber unbefugt Zugriff auf Benutzerkonten dieser Dienste und Daten anderer Anwender verschaffen.
Nachdem die zuständige IETF-Arbeitsgruppe informiert worden war, hat die OAuth Working Group die Fehler eingeräumt und zusammen mit den Trierer Wissenschaftlern Daniel Fett, Ralf Küsters und Guido Schmitz einen Lösungsansatz ausgearbeitet. Die beiden zuvor unbekannten Angriffsmöglichkeiten stecken auch im neuen Authentifizierungssystem OpenID Connect und sind nicht nur im Labor, sondern auch in der Praxis ausnutzbar.
Im Rahmen ihrer Analyse von OAuth haben die Trierer Sicherheitsforscher nicht nur die beiden Schwachstellen gefunden, sondern gleichzeitig auch dargelegt, dass es keine anderen geben kann. Diese Aussage untermauern sie mit einem mathematischen Beweis.
Allerdings war es nicht das erste Mal, dass in OAuth und OpenID gravierende Sicherheitslücken entdeckt wurden. Schon im Mai 2014 hatte ein Sicherheitsforder der Universität Nanyang in Singapur eine „Covert Redirect“ genannte Schwachstelle ausfindig gemacht. Sie ermöglichte es Angreifern, Anwendern einen Anmeldebildschirm unterzujubeln, der eine legitime Domainadresse verwendete, um sich deren Daten zu verschaffen. Anschließend konnten sie den Nutzer für einen zusätzlichen Angriff – etwa per Drive-by Download – auf eine beliebige Website weiterleiten.
Daher raten Sicherheitsforscher Anwendern generell, bei Links vorsichtig zu sein, die direkt zu einem Facebook- oder Google-Log-in führen. Gegen eventuelle Redirect-Angriffe helfe, den jeweiligen Browsertab umgehend zu schließen.
[mit Material von Peter Marwan, ITespresso.de]
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…