Abo
  • Services:
Anzeige
HTTPS soll eigentlich auch URLs schützen.
HTTPS soll eigentlich auch URLs schützen. (Bild: Wikipedia/Fabio Lanari/GFDL)

Black Hat 2016: Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS

HTTPS soll eigentlich auch URLs schützen.
HTTPS soll eigentlich auch URLs schützen. (Bild: Wikipedia/Fabio Lanari/GFDL)

Besonders in öffentlichen Netzwerken schützen verschlüsselte HTTPS-Verbindungen davor, dass Admins oder gar andere Nutzer im gleichen Netz den eigenen Datenverkehr belauschen. Dieser Schutz ist offenbar löchrig - und zwar auf fast allen Browsern und Betriebssystemen.

Durch einen Missbrauch des Web-Proxy-Autodiscovery-Protokolls (WPAD) soll ein Zugriff auf die besuchten Klartext-URLs eines Nutzers möglich sein, auch wenn diese eigentlich per HTTPS geschützt sind. Der von den beiden Sicherheitsforschern Itzik Kotler und Amit Klein entwickelte Angriff soll erstmals in der kommenden Woche auf der Hackerkonferenz Black Hat vorgestellt werden.

Anzeige

Das HTTPS-Protokoll soll eigentlich per SSL/TLS-Verschlüsselung dafür sorgen, dass der gesamte Datenverkehr eines Clients über ein nicht vertrauenswürdiges Netz, einschließlich URLs, Cookies und Verbindungsparameter, geschützt wird. Lediglich die Hostnamen besuchter Webseiten werden für die Funktionalität von TCP/IP immer per Klartext übertragen.

URLs können viele private Informationen enthalten

Wie Arstechnica berichtet, soll es einem Netzwerk-Administrator in dem neuen Szenario nun aber möglich sein, nicht nur Hostnamen, sondern die gesamte URL im Klartext abzufischen. Dafür gibt es offenbar mehrere Angriffswege, von denen mindestens einer auch aus der Ferne ausgeführt werden könnte.

"Wir zeigen, dass HTTPS keine Sicherheit bietet, wenn WPAD aktiviert ist", zitiert Arstechnica Itzik Kotler, CTO der Sicherheitsfirma Safebreach und Mitentwickler des Angriffs. "Daher sind viele Leute durch diese Attacke betroffen, sobald sie in nicht vertrauenswürdigen Netzen surfen."

Proxy Autoconfig als Angriffsvektor

So könne ein böswilliger Netzwerk-Administrator dem Client-Browser über DHCP eine sogenannte Proxy-Autoconfig-Datei (PAC) ausliefern. PAC ist eine DHCP-Funktion, die es ermöglicht, Clients in einem Netzwerk die Nutzung bestimmter Proxy-Server vorzuschreiben. Dies ist besonders in komplexeren Unternehmensnetzen interessant, kann aber im Prinzip auch problemlos zum Beispiel in offenen Flughafen-WLANs eingesetzt werden. PAC - und damit ein arglistiger Netzwerk-Administrator - sollen so jede URL im Klartext abgreifen können, bevor HTTPS diese schützen kann.

  • Beispiel einer PAC-Datei. (Quelle: Wikipedia)
Beispiel einer PAC-Datei. (Quelle: Wikipedia)

Der restliche Datenverkehr bleibt bei dem Angriff durch HTTPS geschützt, lediglich die URL wird vollständig geleakt. Allein diese Information kann jedoch überaus kritische Informationen wie beispielsweise Passwörter, Benutzernamen und Session-IDs enthalten. Auch Links zu privat geteilten Dokumenten über Dienste wie Owncloud oder Google Docs dürften ein lohnenswertes Angriffsziel darstellen.

Microsoft schützt offenbar am besten

Einen einfachen Schutz gegen die Attacke gibt es Koentwickler Klein zufolge nicht. Der Fehler stecke im seit 1999 standardisierten WPAD, das von allen großen Browsern und Betriebssystemen unterstützt wird. Einen Workaround zeige allerdings Microsofts Edge sowie Internet Explorer 11. Beide Browser beschränkten die über WPAD leakbaren Informationen auf ein Minimum, indem sie beim Aufruf der PAC-Datei lediglich die Hostnamen der Webseiten übermittelten, nicht aber die gesamte URL.

Der Black-Hat-Vortrag mit weiteren Informationen ist für den 3. August 2016 geplant.


eye home zur Startseite
no_maam_sky 04. Aug 2016

HTTPS ist wohl eher so schlau wie: einem IKEA Holzstuhl eine Säge beizulegen und zu...

redmord 28. Jul 2016

Richtig lesen: https://tools.ietf.org/html/rfc6749#section-4.2.2 "by adding the following...

Allandor 28. Jul 2016

HTML5 ist ein Moloch von neuen Möglichkeiten. Kein Browser unterstützt derzeit alles was...

amagol 28. Jul 2016

Username+Passwort (oder OAuth-Token) gehoeren in den Authentication-Header. Die URL mag...

FreiGeistler 27. Jul 2016

Aha, Und der Abschnitt "Requirements" ist noch ganz interessant. Also zusammengefasst...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, verschiedene Standorte
  2. über Ratbacher GmbH, München
  3. über Ratbacher GmbH, Karlsruhe
  4. Power Service GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. Supernatural, True Blood, Into the West, Perry Mason, Mord ist ihr Hobby)
  2. (u. a. The Hateful 8, James Bond Spectre, John Wick, Fifty Shades of Grey, London Has Fallen)
  3. (u.a. The Big Bang Theory, True Detective, The 100)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  2. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  3. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  4. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  5. Autonomes Fahren

    Der Truck lernt beim Fahren

  6. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  7. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  8. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  9. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  10. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Alle reden von Spielen? Warum?

    ShaddamIV | 00:11

  2. Re: Halb-OT: Bloß kein handliches Gerät...

    DetlevCM | 25.02. 23:55

  3. Wenn man schon ein eher schlechtes Netz hat...

    DanielDD | 25.02. 23:54

  4. Re: Display größer als bei Fulltouch 5"+

    pre3 | 25.02. 23:37

  5. Re: Gekauft!

    theFiend | 25.02. 23:31


  1. 20:21

  2. 11:57

  3. 09:02

  4. 18:02

  5. 17:43

  6. 16:49

  7. 16:21

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel