Covert Redirect beim Login

Facebook, Google & Co. - Neues Sicherheitsrisiko bei der Anmeldung

Covert Redirect gefährdet Anmeldungen bei Facebook und Google. Nachdem Heartbleed überstanden ist, sorgen Sicherheitslücken in OpenID und OAuth 2.0 für Ärger.

Das

© Screenshot: WEKA, www.OpenId.net

Das "Covert Redirect"-Risiko macht Internet-Nutzern das Leben schwer.

Ein Login bei Facebook, Google, Twitter & Co. kann Gefahren bergen. Diese und weitere Dienste gehören zu den Anwendern der Login-Authentifizierungsprogramme OpenID und OAuth 2.0, die eine neue Sicherheitslücke bergen. Auf den genannten Web-Plattformen kann es zum "Covert Redirect" kommen. Die Sicherheitslücke wurde von Wang Jing,  einem Doktoranden der Technischen Universität in Singapur entdeckt. Über die verdeckte, heimliche "Umleitung" können Angreifer unter Umständen den User während eines Login-Vorganges unbemerkt auf eine andere als die gewünschte Seite umleiten, die dann mit Schadecode präpariert ist. 

Dabei betrifft das Sicherheitsproblem nicht die genannten Anbieter selbst, sondern diejenigen Apps, Seiten und Webdienste, in  die sich die User über die großen Anbieter einloggen. OpenID und OAuth ist die Software, die es ermöglicht, dass sich User mit einem etwa bei Google oder Facebook bestehenden Konto in andere Dienste einloggen können, ohne dort ein Konto zu unterhalten. Diese Dienste nutzen dann, wenn sie korrekt arbeiten, nur die vom User freigegebenen Daten der "Anmeldestelle" zu ihrer Authentifizierung. An sich sollte das Verfahren für mehr Sicherheit sorgen, als wenn die Kontodaten der Nutzer an noch mehr Stellen hinterlegt werden.

Für User und Webmaster ist das Verfahren recht komfortabel. Die Anmeldedaten bleiben beispielsweise bei Google oder Facebook und der neue Dienst muss weder E-Mail-Adresse noch Passwort speichern. Genau darin liegt aber auch die Schwachstelle des Verfahrens. Der Drittanbieter kann den User mittels Phishing leicht zum Eingeben seiner  Zugangsdaten für Google oder Facebook veranlassen, womit er vollen Zugang zu dessen dort gespeicherten Daten erhält.

Lesetipp: Die besten kostenlosen Sicherheits-Tools

Die Probleme sind nicht leicht zu lösen. So halten sich denn auch die großen Dienste auf Nachfrage des studentischen Sicherheitsforschers sehr bedeckt. Vermeiden kann der User die Unsicherheit in der indirekten Authentifizierung nur, indem er sich bei den entsprechenden Diensten direkt registriert. Man sollte also sein Browserfenster oder den Tab sofort schließen, wenn unerwartet ein neues Login-Fenster bei einer Anwendung auftaucht, bei der man bereits authentifiziert sein sollte, und - selbstvertändlich - keinen Links aus Mails unbekannter Absender folgen.

Mehr zum Thema

Facebook-Neulinge bekommen bessere Voreinstellungen für mehr Datenschutz.
Automatischer Datenschutz

Neue Facebook-Nutzer müssen nicht mehr fürchten, dass Einträge von allen Nutzern gelesen werden können. Facebook ändert die Voreinstellungen für…
Die Initiative
Facebook-Datenschutz

Die Initiative Europe-v-Facebook ist rasant gewachsen. Am 6. August wurden bereits über 20.000 Teilnehmer für die Sammelklage gegen Facebook…
Social Networks
Privatsphäre und Datenschutz

Wir zeigen die optimalen Facebook-Einstellungen, damit Sie mehr Privatsphäre, Datenschutz und Datensicherheit im Social Network genießen.
Facebook-Logo
Verbraucherzentrale reicht's

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt…
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…