Forscher der Chinese University of Hongkong haben eine Schwachstelle in der Implementierung des Anmeldediensts OAuth 2.0 entdeckt. Angreifer sind dadurch unter Umständen in der Lage, Nutzerkonten zu kapern und App-Daten auszulesen. Den Forschern zufolge sind davon mehr als 41 Prozent von 600 untersuchten Apps im Google Play Store betroffen, die zusammen mehr als eine Milliarde Mal heruntergeladen wurden, wie TechRepublic berichtet.
Allerdings prüfen nicht alle Apps, ob die Signatur, die beispielsweise Google zusammen mit dem Token sendet, gültig ist. Die erwähnten rund 41 Prozent verzichten auf diese Prüfung – diese Apps wissen also nicht mit Sicherheit, ob die erhaltene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.
Um die Schwachstelle zu testen, richteten die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu einen gefälschten Log-in-Server ein. Mit dessen Hilfe waren sie in der Lage, anfällige Apps zu übernehmen. Dafür erzeugten sie zuerst mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server schließlich übermittelte die präparierten Anmeldedaten an die App, die dann einen vollständigen Zugriff auf das Profil des Opfers erlaubte.
Welche Apps betroffen sind beziehungsweise OAuth 2.0 falsch implementieren, geht aus dem Bericht der Forscher nicht hervor. Je nach App wäre es aber möglich, persönliche Daten Dritter einzusehen, Beiträge in deren Namen zu veröffentlichen oder auf deren Rechnung Produkte zu kaufen.
Google und Facebook haben die Forscher inzwischen über die Sicherheitslücke informiert. Erstere arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um das Leck zu schließen. Betroffen sind nicht nur Android-Apps, sondern auch Anwendungen für Apples Mobilbetriebssystem iOS.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…