Abo
  • Services:
Anzeige
Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

XML Signature Wrapping: Bochumer Forscher finden Lücke in Amazon Web Services

Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

Forscher der Ruhr-Universität Bochum konnten sich in Accounts der Amazon Web Services hacken, um Images anzulegen und zu löschen. Auch der Amazon-Shop sei für Cross-Site-Scripting-Angriffe anfällig gewesen.

Forscher der Ruhr-Uni wollen bei den Amazon-Cloud-Diensten eine "massive Sicherheitslücke" gefunden haben. Als Angriffsmethoden wurden Signature Wrapping und Cross Site Scripting eingesetzt. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", erklärte Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität.

Anzeige

"Mit verschiedenen Varianten von XML-Signature-Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen", so Juraj Somorovsky, ein Mitarbeiter Schwenks. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen." Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature-Wrapping-Attacken sind.

Darüber hinaus erklären die Forscher, Lücken im AWS Interface und im Amazon-Shop gefunden zu haben, die dafür geeignet seien, ausführbaren Skriptcode einzuschleusen, um Cross-Site-Scripting-Angriffe auszuführen. "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", erklärte Mario Heiderich, der ebenfalls zu der Forschergruppe gehört. Das gemeinsame Login berge ein komplexes Gefahrenpotenzial: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."

Auch in Eucalyptus, einer Open-Source-Infrastruktur zur Nutzung von Clouds auf Clustern, fanden sich laut Schwenk ähnliche Schwachstellen. "Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend", sagte er.


eye home zur Startseite
Der ohne Name 25. Okt 2011

...im Amazon-Shop? Wer sowas macht gehört verprügelt.



Anzeige

Stellenmarkt
  1. ETAS GmbH, Stuttgart
  2. ASTERION Germany GmbH, Viernheim/Rüsselsheim
  3. über Duerenhoff GmbH, Raum Landsberg am Lech
  4. Verlag für die Deutsche Wirtschaft AG, Bonn


Anzeige
Hardware-Angebote
  1. täglich neue Deals
  2. 15%-Gutschein für Ebay-Plus-Mitglieder
  3. und Destiny 2 gratis erhalten

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Smartphone Neues Oneplus 5T kostet weiterhin 500 Euro
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

Doom-Brettspiel-Neuauflage im Test: Action am Wohnzimmertisch
Doom-Brettspiel-Neuauflage im Test
Action am Wohnzimmertisch
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Gamedesign Der letzte Lebenspunkt hält länger

  1. Re: Usenet-Links? Wasdas?

    Apfelbrot | 18:47

  2. Re: Wieder mal Anwalt Solmecke...

    Apfelbrot | 18:46

  3. Re: Minus iOS

    derdiedas | 18:43

  4. Re: Frontantrieb...

    oliver.n.herzog | 18:38

  5. Re: "Qualität" ... aus einer Blechdose

    Dietbert | 18:36


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel