Bleiben Sie wachsam: OpenID und OAuth sind angreifbar

OpenID und OAuth sind die Protokolle hinter Funktionen wie „Mit Facebook einloggen“ oder „Mit Google authorisieren“, die man heute auf vielen Seiten findet. Natürlich werden diese auch angegriffen, aber das ist kein Grund zu besonderer Panik.

OpenID angreifbar

Nur ein paar Wochen nachdem die Heartbleed-Sicherheitslücke entdeckt wurde, sind Sie vielleicht besorgt wegen einem anderen, anscheinend ebenfalls weit verbreitetem Problem, das nicht so einfach zu lösen ist. Dabei handelt es sich um den Covert-Redirection-Fehler, der von dem Mathematik-Studenten Wang Jing von der Nanyang Technological University in Singapore entdeckt wurde. Das Problem wurde in den Internet-Protokollen OpenID und OAuth gefunden. OpenID wird genutzt, wenn Sie sich auf einer Webseite mit Ihren Login-Daten von Google, Facebook, LinkedIn usw. einloggen können. Oauth kommt dagegen ins Spiel, wenn Sie Seiten, Apps oder Dienste per Facebook/G+/usw. authorisieren, ohne dabei wirklich Ihr Passwort und Ihre Login-Daten an die entsprechende Seite zu übermitteln. Diese zwei Protokolle werden meist gemeinsam verwendet, und wie sich herausstellte, könnten Ihre Informationen dadurch in die falschen Hände gelangen.

Die Gefahr

Unsere Freunde von Threatpost haben eine technischere Erklärung des Problems, inklusive dem Link zur Forschungsarbeit von Wang Jing, doch hier wollen wir uns darauf beschränken, die möglichen Angriffe und Konsequenzen zu beleuchten. Zunächst muss ein Anwender eine schädliche Phishing-Seite besuchen, die den üblichen Mit-Facebook-einloggen-Knopf enthält. So eine Seite sieht meist anderen Drittanbietern sehr ähnlich oder tarnt sich als komplett neuer Service. Klickt man auf den Knopf, erscheint ein echtes Facebook/G+/LinkedIn-Popup-Fenster, das den Anwender auffordert, sein Login und Passwort zur Authorisierung einzugeben. Anschließend wird die Authorisierung über einen falschen Redirect an die falsche (Phishing-)Seite gesendet.

Der Anwender besucht eine Phishing-Seite und versucht, sich über Facebook oder einen anderen OpenID-Dienst einzuloggen.

Dadurch erhält der Cyberkriminelle eine echte Authorisierung (ein so genanntes OAuth-Token), um mit allen der App gewährten Rechte auf das Profil des Anwenders zugreifen zu können – im besten Fall sind das nur die grundlegenden Nutzerdaten, im schlimmsten Fall kann der Angreifer die Kontakte auslesen, Nachrichten senden, usw.

Problem gelöst? Eigentlich nicht

Die Gefahr wird so schnell nicht verschwinden, denn das Problem muss sowohl auf Provider-Seite (Facebook, LinkedIn, Google usw.), als auch auf Client-Seite (Apps oder Services von Drittanbietern) gelöst werden. Das OAuth-Protokoll ist immer noch im Beta-Stadium und viele Provider nutzen ganz unterschiedliche Implementationen, die sich in Ihren Möglichkeiten, die genannte Bedrohung abzuwheren, unterscheiden. LinkedIn hat das entsprechende Update implementiert und strengere Vorgaben für Drittanbieter festgelegt, die eine Allow-Liste richtiger Redirects vorlegen müssen. Momentan ist also jede App, die eine LinkedIn-Authorisierung nutzt entweder sicher oder sie funktioniert nicht. Bei Facebook ist das anders, da hier viel mehr Apps von Drittanbeitern sowie das ältere OAuth-Protokoll genutzt werden. Deshalb sagten Facebook-Sprecher, dass Allowlisting „kurzfristig nicht eingesetzt werden können.“

Es gibt viele andere Provider, die über die Sicherheitslücke angreifbar sind (dargestellt im folgenden Bild), wenn Sie sich also auf Webseiten mit deren Login-Daten einloggen, sollten Sie nun handeln.

 liste

Das müssen Sie tun

Alle ganz vorsichtigen Nutzer müssen für einige Monate komplett darauf verzichten, OpenID und die praktischen Mit-X-einloggen-Knöpfe zu verwenden. Vielleicht profitieren Sie dadurch sogar von besserem Schutz für Ihre Privatsphäre, denn die Nutzung solcher Login-Möglichkeiten ermöglicht auch die bessere Nachverfolgung Ihrer Online-Aktivitäten und erlaubt immer mehr Seiten, Ihre demopgraphischen Daten zu lesen. Um es sich zu ersparen, sich all die unterschiedlichen Passwörter merken zu müssen, können Sie einfach einen guten Passwort-Manager verwenden. Die meisten solcher Dienste bieten Multiplattform-Programme und Synchronisation über die Cloud, so dass Ihnen Ihre Passwörter auf jedem Ihrer Geräte zur Verfügung stehen.

Wenn Sie aber die OpenID-Authorisation nutzen möchten, ist das auch nicht so schlimm. Sie sollten dabei nur aufpassen, auf welchen Seiten Sie diese verwenden und sich vor Phishing-Betrügereien schützen, die meist mit einer aufrüttelnden E-Mail oder einem provokativen Link auf Facebook und anderen Sozialen Netzwerken beginnen. Wenn Sie sich auf einer Webseite mit Ihrem Facebook/Google/usw.-Login einloggen, sollten Sie die Adresse der Seite manuell eingeben oder ein Lesezeichen dafür nutzen, und nicht einen Link in E-Mails oder einem Chat anklicken. Prüfen Sie die Adresszeile sorgfältig, um nicht auf gefälschte Seiten zu gelangen, und loggen Sie sich nicht bei komplett neuen Seiten mit OpenID ein, wenn Sie sich nicht hundertprozentig sicher sind, dass es sich um eine legitime Seite handelt und Sie auch wirklich auf der richtigen Seiten gelandet sind. Zudem sollten Sie das Surfen im Internet mit einer Sicherheitslösung wie Kaspersky Internet Security – Multi-Device schützen, die Ihren Browser davon abhält, gefährliche Seiten zu öffnen.

Das alles sind übrigens ganz normale Vorsichtsmaßnahmen, die jeder Internetnutzer täglich beachten sollte, da Phishing sehr verbreitet ist und schnell zu Datendiebstahl und dem Verlust von Kreditkartennummern, E-Mail-Logins und anderen wichtigen Dingen führen kann. Der Covert-Redirect-Fehler in OpenID und OAuth ist nur ein weiterer Grund, diese Vorsichtsmaßnahmen zu beachten – ohne Ausnahme.

Tipps