Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Keine Nutzerinteraktion erforderlich

Um Angriffe durchzuführen, ist es nicht notwendig, Nutzern gefälschte Apps unterzuschieben, auch eine Interaktion der Opfer ist nicht erforderlich.

Für einen erfolgreichen Angriff wird ein Server für eine Man-in-the-Middle-Attacke konfiguriert, der dann ein- und ausgehenden Traffic überwacht. Wird die verwendete User-ID mitgeschnitten, können Angreifer mit eigenen Zugangsdaten einen Login-Vorgang starten und dann die User-ID des Opfers einsetzen, um Zugriff auf den entsprechenden Dienst zu erhalten.

Anzeige

"Weil die Backend-Server der Dienstebanbieter direkt die Identitätsinformationen der Client-App nutzen, um den Anwender ohne weitere Validierung zu authentifizieren, können Angreifer sich in deren Namen in die Apps einloggen und vollen Zugriff auf die gespeicherten Informationen erhalten," sagen die Sicherheitsforscher bei Threatpost.

Viele Anbieter verzichten auf Certificate Pinning

Der Angriff ist auch deswegen möglich, weil viele Anbieter auf Public Key Certificate Pinning verzichten. Doch selbst mit Certificate Pinning können auch Facebook-Nutzer von dem Problem betroffen sein, wenn diese sich vor Mai 2014 erstmals per OAuth bei einer App angemeldet haben. Für diese Nutzer hält das Unternehmen einen Fallback-Modus bereit.

Die Forscher empfehlen den Identitiy Providern wie Facebook und Google, strengere Richtlinien zur Verwendung der eigenen OAuth-APIs zu erlassen, um fehlerhafte Konfigurationen zu vermeiden. Außerdem sollten die Identity-Provider keine Zugangsdaten mehr akzeptieren sollten, die von den Client-Apps signiert sind, da diese einfach zu manipulieren seien.

 Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. mobileX AG, München
  3. Bechtle Onsite Services GmbH, Neckarsulm
  4. TADANO FAUN GmbH, Lauf an der Pegnitz / bei Nürnberg


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. CoD: Infinite Warefare Legacy Edition 25,00€)
  2. 59,00€
  3. (u. a. PlayStation 4 + Horizon Zero Dawn + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. Polar Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung
  2. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  3. Beddit Apple kauft Schlaf-Tracker-Hersteller

  1. Re: Was mich grundsätzlich bei WaKü stört...

    Eheran | 17:00

  2. Re: "mangelnde Transparenz"

    plutoniumsulfat | 16:54

  3. Re: Kenne ich

    divStar | 16:53

  4. Re: bitte klär mich jemand nochmal auf...

    divStar | 16:51

  5. Re: Wofür ist das BVG-WiFi gut?

    nomisum | 16:48


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel