Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Keine Nutzerinteraktion erforderlich

Um Angriffe durchzuführen, ist es nicht notwendig, Nutzern gefälschte Apps unterzuschieben, auch eine Interaktion der Opfer ist nicht erforderlich.

Für einen erfolgreichen Angriff wird ein Server für eine Man-in-the-Middle-Attacke konfiguriert, der dann ein- und ausgehenden Traffic überwacht. Wird die verwendete User-ID mitgeschnitten, können Angreifer mit eigenen Zugangsdaten einen Login-Vorgang starten und dann die User-ID des Opfers einsetzen, um Zugriff auf den entsprechenden Dienst zu erhalten.

Anzeige

"Weil die Backend-Server der Dienstebanbieter direkt die Identitätsinformationen der Client-App nutzen, um den Anwender ohne weitere Validierung zu authentifizieren, können Angreifer sich in deren Namen in die Apps einloggen und vollen Zugriff auf die gespeicherten Informationen erhalten," sagen die Sicherheitsforscher bei Threatpost.

Viele Anbieter verzichten auf Certificate Pinning

Der Angriff ist auch deswegen möglich, weil viele Anbieter auf Public Key Certificate Pinning verzichten. Doch selbst mit Certificate Pinning können auch Facebook-Nutzer von dem Problem betroffen sein, wenn diese sich vor Mai 2014 erstmals per OAuth bei einer App angemeldet haben. Für diese Nutzer hält das Unternehmen einen Fallback-Modus bereit.

Die Forscher empfehlen den Identitiy Providern wie Facebook und Google, strengere Richtlinien zur Verwendung der eigenen OAuth-APIs zu erlassen, um fehlerhafte Konfigurationen zu vermeiden. Außerdem sollten die Identity-Provider keine Zugangsdaten mehr akzeptieren sollten, die von den Client-Apps signiert sind, da diese einfach zu manipulieren seien.

 Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...



Anzeige

Stellenmarkt
  1. Gasunie Deutschland Services GmbH, Hannover
  2. Robert Bosch GmbH, Stuttgart
  3. neam IT-Services GmbH, Paderborn
  4. operational services GmbH & Co. KG, München/Ottobrunn


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 10,99€
  3. (-85%) 4,49€

Folgen Sie uns
       


  1. Einkaufen und Laden

    Elektroauto-Ladesäulen mit 50 kW bei Kaufland

  2. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  3. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  4. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  5. PC

    Geld für Intel Inside wird stark gekürzt

  6. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  7. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  8. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  9. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  10. Lohn

    Streik bei Amazon an zwei Standorten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

  1. Re: Xiaomi Mi A1 ist meine derzeitige Empfehlung...

    Stoker | 07:13

  2. Re: Volltext RSS, wie?

    FreiGeistler | 07:09

  3. Re: Wenn's Geld einbringt, dann eher gegen die...

    Flatsch | 07:08

  4. Re: golem pur auch ein interessanter Benchmark

    FreiGeistler | 07:07

  5. Re: AMD kaufen

    meee | 07:06


  1. 07:08

  2. 17:01

  3. 16:38

  4. 16:00

  5. 15:29

  6. 15:16

  7. 14:50

  8. 14:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel