Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on ist praktisch, wird aber oft falsch implementiert. Sicherheitsforscher haben demonstriert, welche Fehler App-Entwickler dabei machen. Mehrere hundert Apps machten dabei Probleme.

Sicherheitsforscher haben auf der Konferenz Blackhat EU eine Schwachstelle in der Nutzung von OAuth 2.0 durch zahlreiche mobile Apps demonstriert [PDF]. OAuth-kompatible Dienste ermöglichen es, Accounts großer Provider wie Facebook oder Google auch auf anderen Webseiten zu nutzen, ohne sich erneut anzumelden.

Anzeige

Betroffen sind Apps von Anbietern, die Dienste wie Google, Sina oder Facebook als Identity Provider (IdP) nutzen, um Single Sign-on anzubieten. Das größte Problem aus Sicht der Sicherheitsforscher: OAuth 2.0 schreibt nicht detailliert vor, wie die anfragende App die Informationen verwalten und verifizieren soll.

Wird OAuth über einen Webbrowser genutzt, gibt es drei beteiligte Parteien, nämlich den Server des IdP, den Backend-Server des Dienstanbieters und den User-Agent des Browsers, der vom Anwender genutzt wird.

Im Setup auf mobilen Geräten hingegen gibt es die beiden Server, außerdem noch die App des Diensteanbieters und des IdP. Die jeweiligen Apps sind nicht durch die Spezifikationen von OAuth 2.0 abgedeckt, können also von den Anbietern selbst verwaltet werden.

Hier gibt es verschiedene Fehler, so verzichten viele Apps auf eine Signaturprüfung und akzeptieren gesendete Nutzer-IDs somit ohne weitere Prüfung. Andere Apps extrahieren auf Serverseite einfach nur die von Googles Server gesendete User-ID und leiten diese an die Client-App weiter, erneut ohne Prüfung auf Validität.

Zahlreiche Apps betroffen

Bei rund 600 untersuchten Apps sollen 41,2 Prozent verschiedene Sicherheitsmängel aufgewiesen haben, die auf fehlerhafte Implementierungen zurückgehen. Die Apps wurden insgesamt 2,4 Milliarden Mal heruntergeladen, so kommen die Forscher auf rund eine Milliarde verwundbare Accounts.

Keine Nutzerinteraktion erforderlich 

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

Themenstart

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

Themenstart

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Daimler AG, Affalterbach
  2. über HRM CONSULTING GmbH, Köln
  3. MBtech Group GmbH & Co. KGaA, Sindelfingen
  4. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm


Anzeige
Blu-ray-Angebote
  1. 17,97€
  2. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)
  3. 129,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Wichtige Anwendungen von automatisierter Inventarisierung
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  2. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  3. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  4. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  5. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft

  6. Hearthstone

    Blizzard schickt Spieler in die Straßen von Gadgetzan

  7. Jolla

    Sailfish OS in Russland als Referenzmodell für andere Länder

  8. Router-Schwachstellen

    100.000 Kunden in Großbritannien von Störungen betroffen

  9. Rule 41

    Das FBI darf jetzt weltweit hacken

  10. Breath of the Wild

    Spekulationen über spielbare Zelda



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

  1. Re: hä? gericht wieder einmal weltfremd?

    Moe479 | 07:46

  2. Fehlerfortpflanzung

    nobs | 07:39

  3. Re: 1-2¤ pro Jahr / pro Monat / einmalig?

    Technik Schaf | 07:14

  4. Re: Was wurde warum geändert?

    Technik Schaf | 07:10

  5. Re: Wikileaks ist nicht mehr im Kreis der Freunde

    Technik Schaf | 07:04


  1. 18:27

  2. 18:01

  3. 17:46

  4. 17:19

  5. 16:37

  6. 16:03

  7. 15:34

  8. 15:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel