Sicherheitslücke in OAuth 2.0 macht mehr als eine Milliarde Apps angreifbar

Forscher der Chinese University of Hongkong haben eine Schwachstelle in der Implementierung des Anmeldediensts OAuth 2.0 entdeckt. Angreifer sind dadurch unter Umständen in der Lage, Nutzerkonten zu kapern und App-Daten auszulesen. Den Forschern zufolge sind davon mehr als 41 Prozent von 600 untersuchten Apps im Google Play Store betroffen, die zusammen mehr als eine Milliarde Mal heruntergeladen wurden, wie TechRepublic berichtet.

OAuth erlaubt es Nutzern, sich bei Diensten und Apps anzumelden. Statt jedoch ein separates Konto anzulegen, können sie per OAuth ein vorhandenes Konto eines anderen Anbieters wie Google oder Facebook verwenden. Eine App fragt dann beispielsweise ab, ob die eingegebenen Anmeldedaten den bei Google hinterlegten Informationen entsprechen, das dann einen Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Allerdings prüfen nicht alle Apps, ob die Signatur, die beispielsweise Google zusammen mit dem Token sendet, gültig ist. Die erwähnten rund 41 Prozent verzichten auf diese Prüfung – diese Apps wissen also nicht mit Sicherheit, ob die erhaltene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.

Um die Schwachstelle zu testen, richteten die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu einen gefälschten Log-in-Server ein. Mit dessen Hilfe waren sie in der Lage, anfällige Apps zu übernehmen. Dafür erzeugten sie zuerst mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server schließlich übermittelte die präparierten Anmeldedaten an die App, die dann einen vollständigen Zugriff auf das Profil des Opfers erlaubte.

Welche Apps betroffen sind beziehungsweise OAuth 2.0 falsch implementieren, geht aus dem Bericht der Forscher nicht hervor. Je nach App wäre es aber möglich, persönliche Daten Dritter einzusehen, Beiträge in deren Namen zu veröffentlichen oder auf deren Rechnung Produkte zu kaufen.

Google und Facebook haben die Forscher inzwischen über die Sicherheitslücke informiert. Erstere arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um das Leck zu schließen. Betroffen sind nicht nur Android-Apps, sondern auch Anwendungen für Apples Mobilbetriebssystem iOS.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.