Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Keine Nutzerinteraktion erforderlich

Um Angriffe durchzuführen, ist es nicht notwendig, Nutzern gefälschte Apps unterzuschieben, auch eine Interaktion der Opfer ist nicht erforderlich.

Für einen erfolgreichen Angriff wird ein Server für eine Man-in-the-Middle-Attacke konfiguriert, der dann ein- und ausgehenden Traffic überwacht. Wird die verwendete User-ID mitgeschnitten, können Angreifer mit eigenen Zugangsdaten einen Login-Vorgang starten und dann die User-ID des Opfers einsetzen, um Zugriff auf den entsprechenden Dienst zu erhalten.

Anzeige

"Weil die Backend-Server der Dienstebanbieter direkt die Identitätsinformationen der Client-App nutzen, um den Anwender ohne weitere Validierung zu authentifizieren, können Angreifer sich in deren Namen in die Apps einloggen und vollen Zugriff auf die gespeicherten Informationen erhalten," sagen die Sicherheitsforscher bei Threatpost.

Viele Anbieter verzichten auf Certificate Pinning

Der Angriff ist auch deswegen möglich, weil viele Anbieter auf Public Key Certificate Pinning verzichten. Doch selbst mit Certificate Pinning können auch Facebook-Nutzer von dem Problem betroffen sein, wenn diese sich vor Mai 2014 erstmals per OAuth bei einer App angemeldet haben. Für diese Nutzer hält das Unternehmen einen Fallback-Modus bereit.

Die Forscher empfehlen den Identitiy Providern wie Facebook und Google, strengere Richtlinien zur Verwendung der eigenen OAuth-APIs zu erlassen, um fehlerhafte Konfigurationen zu vermeiden. Außerdem sollten die Identity-Provider keine Zugangsdaten mehr akzeptieren sollten, die von den Client-Apps signiert sind, da diese einfach zu manipulieren seien.

 Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...



Anzeige

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, Frankfurt, Hamburg, München
  2. andagon GmbH, Köln
  3. VSA GmbH, München
  4. SYNLAB Holding Deutschland GmbH, Augsburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Resident Evil: Vendetta 14,99€, John Wick: Kapitel 2 9,99€, Fight Club 8,29€ und...
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  2. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  3. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  4. Deep Descent

    Aquanox lädt in Tiefsee-Beta

  5. Android-Apps

    Google belohnt Fehlersuche im Play Store

  6. Depublizierung

    7-Tage-Löschfrist für ARD und ZDF im Internet fällt weg

  7. Netzneutralität

    Telekom darf Auflagen zu Stream On länger prüfen

  8. Spielebranche

    Kopf-an-Kopf-Rennen zwischen Pro und X erwartet

  9. Thunderobot ST-Plus im Praxistest

    Da gehe ich doch lieber wieder draußen spielen!

  10. Fahrdienst

    Alphabet investiert in Lyft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: Der Eingang zu Nathan.

    JouMxyzptlk | 22:04

  2. Re: "da es ein shared Medium sei"

    Faksimile | 21:58

  3. Re: Tim Cook verspricht gar nix

    plutoniumsulfat | 21:57

  4. Re: 800¤ für ne GraKa?

    NommisLP | 21:52

  5. Re: Asse 2.0

    Ach | 21:49


  1. 18:00

  2. 17:47

  3. 16:54

  4. 16:10

  5. 15:50

  6. 15:05

  7. 14:37

  8. 12:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel