Covert Redirect beim Login

Facebook, Google & Co. - Neues Sicherheitsrisiko bei der Anmeldung

Covert Redirect gefährdet Anmeldungen bei Facebook und Google. Nachdem Heartbleed überstanden ist, sorgen Sicherheitslücken in OpenID und OAuth 2.0 für Ärger.

News
VG Wort Pixel
Das
Das "Covert Redirect"-Risiko macht Internet-Nutzern das Leben schwer.
© Screenshot: WEKA, www.OpenId.net

Ein Login bei Facebook, Google, Twitter & Co. kann Gefahren bergen. Diese und weitere Dienste gehören zu den Anwendern der Login-Authentifizierungsprogramme OpenID und OAuth 2.0, die eine neue Sicherheitslücke bergen. Auf den genannten Web-Plattformen kann es zum "Covert Redirect" kommen. Die Sicherheitslücke wurde von Wang Jing,  einem Doktoranden der Technischen Universität in Singapur entdeckt. Über die verdeckte, heimliche "Umleitung" können Angreifer unter Umständen den User während eines Login-Vorganges unbemerkt auf eine andere als die gewünschte Seite umleiten, die dann mit Schadecode präpariert ist. 

Dabei betrifft das Sicherheitsproblem nicht die genannten Anbieter selbst, sondern diejenigen Apps, Seiten und Webdienste, in  die sich die User über die großen Anbieter einloggen. OpenID und OAuth ist die Software, die es ermöglicht, dass sich User mit einem etwa bei Google oder Facebook bestehenden Konto in andere Dienste einloggen können, ohne dort ein Konto zu unterhalten. Diese Dienste nutzen dann, wenn sie korrekt arbeiten, nur die vom User freigegebenen Daten der "Anmeldestelle" zu ihrer Authentifizierung. An sich sollte das Verfahren für mehr Sicherheit sorgen, als wenn die Kontodaten der Nutzer an noch mehr Stellen hinterlegt werden.

Für User und Webmaster ist das Verfahren recht komfortabel. Die Anmeldedaten bleiben beispielsweise bei Google oder Facebook und der neue Dienst muss weder E-Mail-Adresse noch Passwort speichern. Genau darin liegt aber auch die Schwachstelle des Verfahrens. Der Drittanbieter kann den User mittels Phishing leicht zum Eingeben seiner  Zugangsdaten für Google oder Facebook veranlassen, womit er vollen Zugang zu dessen dort gespeicherten Daten erhält.

Lesetipp: Die besten kostenlosen Sicherheits-Tools

Die Probleme sind nicht leicht zu lösen. So halten sich denn auch die großen Dienste auf Nachfrage des studentischen Sicherheitsforschers sehr bedeckt. Vermeiden kann der User die Unsicherheit in der indirekten Authentifizierung nur, indem er sich bei den entsprechenden Diensten direkt registriert. Man sollte also sein Browserfenster oder den Tab sofort schließen, wenn unerwartet ein neues Login-Fenster bei einer Anwendung auftaucht, bei der man bereits authentifiziert sein sollte, und - selbstvertändlich - keinen Links aus Mails unbekannter Absender folgen.

5.5.2014 von Joachim Drescher

Weiter zur Startseite  

Mehr zum Thema

Facebook-Neulinge bekommen bessere Voreinstellungen für mehr Datenschutz.

Automatischer Datenschutz

Facebook - Privatsphäre-Voreinstellungen für Neulinge…

Neue Facebook-Nutzer müssen nicht mehr fürchten, dass Einträge von allen Nutzern gelesen werden können. Facebook ändert die Voreinstellungen für…

Die iPhone-App von Instagram hat eine Sicherheitlücke.

iPhone-App

Instagram mit Sicherheitslücke

Ein Hacker hat bei Instagram eine Sicherheitslücke gefunden. Nach einer abgelehnten Belohnung droht er Facebook mit einem Angriff, um den Druck zu…

Die Initiative

Facebook-Datenschutz

Bereits 20.000 Unterstützer für Sammelklage…

Die Initiative Europe-v-Facebook ist rasant gewachsen. Am 6. August wurden bereits über 20.000 Teilnehmer für die Sammelklage gegen Facebook gelistet.

Facebook-Logo

Verbraucherzentrale reicht's

Facebook wegen neuer Nutzungsbedingungen abgemahnt

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt Facebook…

Facebook-Betrug mit Fake-Profilen

Gefälschte Facebook-Konten

Facebook-Betrug mit Fake-Profilen - wie Sie sich und Ihre…

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…