Versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID


Ende letzter Woche veröffentlichte ein Doktorand der Nanyang Technological University namens Wang Jing einen Bericht über eine Sicherheitslücke, die er „Covert Direct“ („versteckte Umleitung“) nannte. Dabei handelt es sich um eine Sicherheitslücke, die Websites betrifft, die OAuth und OpenID zur Überprüfung der Identität nutzen. Auf Grund seiner zeitlichen Nähe zu Heartbleed, der kritischen Sicherheitslücke, die vor weniger als einem Monat auftrat, wurde viel über Covert Direct berichtet.

Covert Direct ist ein Problem, aber beileibe nicht „der nächste Heartbleed“.

Was ist Covert Direct?

Auf vielen Websites kommen OAuth und OpenID zur Identitätsüberprüfung zum Einsatz, wobei sich Nutzer mit den Zugangsdaten anderer großer Websites anmelden können. OAuth und OpenID dienen einer einfacheren Bedienbarkeit und der Sicherung der digitalen Identität der Nutzer. So haben Sie zum Beispiel wahrscheinlich bereits OAuth oder OpenID verwendet, als Sie ein Konto auf einer neuen Website oder in einer App erstellt haben und dabei gebeten wurden, sich mit Facebook anzumelden.

Covert Direct stellt ein Problem bei den internen Sicherheitsvorkehrungen von Websites dar, die auf OAuth und OpenID bauen. Das Problem liegt nicht bei OAuth und OpenID selbst. Covert Direct ist in der Tat lediglich ein Fall eines allgemeinen Problems mit offenen Umleitungen, das Website-/App-Entwicklern bereits seit Jahren bekannt ist. Eine offene Umleitung tritt auf, wenn eine Website einen Fehler im Aufbau aufweist, durch welchen Angreifer den Code ändern können, der Nutzer auf andere Websites weiterleitet. Diese Umleitungen werden oft von Hackern genutzt, um Zugangs-Tokens zu stehlen, mit Hilfe derer Nutzer sich normalerweise mit einem etablierten Konto auf einer bekannten Website wie Facebook oder Google in einer Anwendung oder einer kleineren Website anmelden. Später können Hacker dann diese Zugangs-Tokens dazu verwenden, sich im Konto eines Nutzers über ihre bösartige Website anzumelden und sich Zugangsdaten anzueignen oder das Konto des Nutzers zu illegalen Zwecken zu nutzen.

Wie kann ich mich schützen?

Lassen Sie Vorsicht walten, wenn Sie Anwendungen und Websites Zugriff auf etablierte Konten gewähren.

Damit Covert Redirect funktionieren kann, müsste ein Nutzer auf einen Link eines Hackers klicken, um sich auf einer Website oder in einer Anwendung mittels Facebook, Google, LinkedIn oder einer anderen großen Website anzumelden. Der Link könnte durchaus vertrauenswürdig erscheinen, als handle es sich um eine Anfrage von einer Website oder Anwendung, die der Nutzer tatsächlich verwendet, aber in Wahrheit handelt es sich um einen bösartigen Link, der das Zugangs-Token des Nutzers in die Hände des Hackers treiben soll.

Covert Redirect stellt ein Problem dar, da es in der heutigen digitalen Wirtschaftswelt sprichwörtlich tausende kleiner Apps und Websites gibt, die OAuth und OpenID zur Verbindung mit größeren Social-Websites nutzen. Um dem Problem also vollständig aus dem Weg zu gehen, müssten die Entwickler jeder einzelner dieser Apps und Websites ihre Produkte auf diese Sicherheitslücke überprüfen. Zudem müssten Riesenkonzerne wie Google und Facebook riesige Whitelists mit allen Apps/Websites erstellen, denen sie über OAuth und OpenID Zugangs-Tokens herausgeben. Solche Apps und Websites entstehen jeden Tag neu, was diese Aufgabe technisch unmöglich macht.

Kurz gesagt: Wenn Sie einer Sache nicht über den Weg trauen, klicken Sie nicht darauf. Falls Sie im Zweifelsfall die App oder Website trotzdem nutzen möchten, können Sie immer noch ein neues, anonymes Dummy-Konto auf der Website selbst erstellen.

Ein Wort zur Offenlegung von Sicherheitslücken

Wegen Heartbleed machen die Medien viel Aufhebens um Covert Redirect. In der Tat hat der Entdecker von Covert Redirect sich eindeutig bemüht, seine Entdeckung nach der von Heartbleed zu gestalten. Einen Vergleich finden Sie hier und hier.

Ob diese Ähnlichkeit hilfreich ist oder nicht, ist schwer zu sagen. Es besteht jedoch kein Zweifel daran, dass offene Umleitungen ein riesiges Sicherheitsproblem darstellen und dass davon betroffene Website und Anwendungen dieses Problem schnellstmöglich angehen sollten; es handelt sich jedoch um kein neues Problem mit den Dimensionen von Heartbleed. Durch Heartbleed wurde es Angreifern ermöglicht, durch eine kleine Fernanfrage an den Server Zugriff auf Nutzerzugangsdaten zu erlangen, auf dem diese sich befinden. Covert Direct andererseits funktioniert nur dann, wenn sich ein Nutzer durch Social Engineering dazu verleiten lässt, auf einen bösartigen Link zu klicken. Dies macht Covert Redirect zu einem Problem, das jedoch keinesfalls unüberwindlich wäre. Der Hype lässt sich zum einen als Aufruf an Web-Entwickler verstehen, ihre Arbeitsweise zu überdenken, und zum anderen an Internetnutzer, wachsam zu bleiben – zwei nicht ganz so negative Nebenwirkungen, die zu einer malware-freien Welt beitragen können.

Wir wünschen Ihnen eine (malware-freie) Zeit!

Senan Conrad

Senan Conrad

Weitere Artikel

Newsletter

Malware kennt keine Pausen. Bleiben Sie immer über die neuesten Bedrohungen auf dem Laufenden.

Emsisoft > Blog > Malware-Labor > Sicherheitswarnungen > Versteckte Umleitungssicherheitslücke in Websites mit OAuth und OpenID