Covert Redirect beim Login
Facebook, Google & Co. - Neues Sicherheitsrisiko bei der Anmeldung
Covert Redirect gefährdet Anmeldungen bei Facebook und Google. Nachdem Heartbleed überstanden ist, sorgen Sicherheitslücken in OpenID und OAuth 2.0 für Ärger.
Ein Login bei Facebook, Google, Twitter & Co. kann Gefahren bergen. Diese und weitere Dienste gehören zu den Anwendern der Login-Authentifizierungsprogramme OpenID und OAuth 2.0, die eine neue Sicherheitslücke bergen. Auf den genannten Web-Plattformen kann es zum "Covert Redirect" kommen. Die Sicherheitslücke wurde von Wang Jing, einem Doktoranden der Technischen Universität in Singapur entdeckt. Über die verdeckte, heimliche "Umleitung" können Angreifer unter Umständen den User während eines Login-Vorganges unbemerkt auf eine andere als die gewünschte Seite umleiten, die dann mit Schadecode präpariert ist.
Dabei betrifft das Sicherheitsproblem nicht die genannten Anbieter selbst, sondern diejenigen Apps, Seiten und Webdienste, in die sich die User über die großen Anbieter einloggen. OpenID und OAuth ist die Software, die es ermöglicht, dass sich User mit einem etwa bei Google oder Facebook bestehenden Konto in andere Dienste einloggen können, ohne dort ein Konto zu unterhalten. Diese Dienste nutzen dann, wenn sie korrekt arbeiten, nur die vom User freigegebenen Daten der "Anmeldestelle" zu ihrer Authentifizierung. An sich sollte das Verfahren für mehr Sicherheit sorgen, als wenn die Kontodaten der Nutzer an noch mehr Stellen hinterlegt werden.
Für User und Webmaster ist das Verfahren recht komfortabel. Die Anmeldedaten bleiben beispielsweise bei Google oder Facebook und der neue Dienst muss weder E-Mail-Adresse noch Passwort speichern. Genau darin liegt aber auch die Schwachstelle des Verfahrens. Der Drittanbieter kann den User mittels Phishing leicht zum Eingeben seiner Zugangsdaten für Google oder Facebook veranlassen, womit er vollen Zugang zu dessen dort gespeicherten Daten erhält.
Lesetipp: Die besten kostenlosen Sicherheits-Tools
Die Probleme sind nicht leicht zu lösen. So halten sich denn auch die großen Dienste auf Nachfrage des studentischen Sicherheitsforschers sehr bedeckt. Vermeiden kann der User die Unsicherheit in der indirekten Authentifizierung nur, indem er sich bei den entsprechenden Diensten direkt registriert. Man sollte also sein Browserfenster oder den Tab sofort schließen, wenn unerwartet ein neues Login-Fenster bei einer Anwendung auftaucht, bei der man bereits authentifiziert sein sollte, und - selbstvertändlich - keinen Links aus Mails unbekannter Absender folgen.
Weiter zur Startseite
