Sicherheitslücke in OAuth 2.0 macht mehr als eine Milliarde Apps angreifbar

Forscher der Chinese University of Hongkong haben eine Schwachstelle in der Implementierung des Anmeldediensts OAuth 2.0 entdeckt. Angreifer sind dadurch unter Umständen in der Lage, Nutzerkonten zu kapern und App-Daten auszulesen. Den Forschern zufolge sind davon mehr als 41 Prozent von 600 untersuchten Apps im Google Play Store betroffen, die zusammen mehr als eine Milliarde Mal heruntergeladen wurden, wie TechRepublic berichtet.

OAuth erlaubt es Nutzern, sich bei Diensten und Apps anzumelden. Statt jedoch ein separates Konto anzulegen, können sie per OAuth ein vorhandenes Konto eines anderen Anbieters wie Google oder Facebook verwenden. Eine App fragt dann beispielsweise ab, ob die eingegebenen Anmeldedaten den bei Google hinterlegten Informationen entsprechen, das dann einen Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Allerdings prüfen nicht alle Apps, ob die Signatur, die beispielsweise Google zusammen mit dem Token sendet, gültig ist. Die erwähnten rund 41 Prozent verzichten auf diese Prüfung – diese Apps wissen also nicht mit Sicherheit, ob die erhaltene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.

Um die Schwachstelle zu testen, richteten die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu einen gefälschten Log-in-Server ein. Mit dessen Hilfe waren sie in der Lage, anfällige Apps zu übernehmen. Dafür erzeugten sie zuerst mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server schließlich übermittelte die präparierten Anmeldedaten an die App, die dann einen vollständigen Zugriff auf das Profil des Opfers erlaubte.

Welche Apps betroffen sind beziehungsweise OAuth 2.0 falsch implementieren, geht aus dem Bericht der Forscher nicht hervor. Je nach App wäre es aber möglich, persönliche Daten Dritter einzusehen, Beiträge in deren Namen zu veröffentlichen oder auf deren Rechnung Produkte zu kaufen.

Google und Facebook haben die Forscher inzwischen über die Sicherheitslücke informiert. Erstere arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um das Leck zu schließen. Betroffen sind nicht nur Android-Apps, sondern auch Anwendungen für Apples Mobilbetriebssystem iOS.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago