Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Keine Nutzerinteraktion erforderlich

Um Angriffe durchzuführen, ist es nicht notwendig, Nutzern gefälschte Apps unterzuschieben, auch eine Interaktion der Opfer ist nicht erforderlich.

Für einen erfolgreichen Angriff wird ein Server für eine Man-in-the-Middle-Attacke konfiguriert, der dann ein- und ausgehenden Traffic überwacht. Wird die verwendete User-ID mitgeschnitten, können Angreifer mit eigenen Zugangsdaten einen Login-Vorgang starten und dann die User-ID des Opfers einsetzen, um Zugriff auf den entsprechenden Dienst zu erhalten.

Anzeige

"Weil die Backend-Server der Dienstebanbieter direkt die Identitätsinformationen der Client-App nutzen, um den Anwender ohne weitere Validierung zu authentifizieren, können Angreifer sich in deren Namen in die Apps einloggen und vollen Zugriff auf die gespeicherten Informationen erhalten," sagen die Sicherheitsforscher bei Threatpost.

Viele Anbieter verzichten auf Certificate Pinning

Der Angriff ist auch deswegen möglich, weil viele Anbieter auf Public Key Certificate Pinning verzichten. Doch selbst mit Certificate Pinning können auch Facebook-Nutzer von dem Problem betroffen sein, wenn diese sich vor Mai 2014 erstmals per OAuth bei einer App angemeldet haben. Für diese Nutzer hält das Unternehmen einen Fallback-Modus bereit.

Die Forscher empfehlen den Identitiy Providern wie Facebook und Google, strengere Richtlinien zur Verwendung der eigenen OAuth-APIs zu erlassen, um fehlerhafte Konfigurationen zu vermeiden. Außerdem sollten die Identity-Provider keine Zugangsdaten mehr akzeptieren sollten, die von den Client-Apps signiert sind, da diese einfach zu manipulieren seien.

 Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...



Anzeige

Stellenmarkt
  1. Hochschule Esslingen, Esslingen
  2. über Ratbacher GmbH, Berlin
  3. Woodward GmbH, Stuttgart
  4. Habermaaß GmbH, Bad Rodach


Anzeige
Top-Angebote
  1. und bis zu 8 Tage früher erhalten
  2. 37,99€
  3. 11,01€ USK 18 (Versand über Amazon)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Extremistische Inhalte

    Google hat weiter Probleme mit Werbeplatzierungen

  2. SpaceX

    Für eine Raketenstufe geht es zurück ins Weltall

  3. Ashes of the Singularity

    Patch sorgt auf Ryzen-Chips für 20 Prozent mehr Leistung

  4. Thimbleweed Park im Test

    Mord im Pixelparadies

  5. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  6. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  7. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  8. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  9. Hashfunktion

    Der schwierige Abschied von SHA-1

  10. Cyberangriff auf Bundestag

    BSI beschwichtigt und warnt vor schädlichen Werbebannern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vikings im Kurztest: Tiefgekühlt kämpfen
Vikings im Kurztest
Tiefgekühlt kämpfen
  1. Future Unfolding im Test Adventure allein im Wald
  2. Nier Automata im Test Stilvolle Action mit Überraschungen
  3. Nioh im Test Brutal schwierige Samurai-Action

Logitech UE Wonderboom im Hands on: Der Lautsprecher, der im Wasser schwimmt
Logitech UE Wonderboom im Hands on
Der Lautsprecher, der im Wasser schwimmt
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino
  2. Mikrosystem Usound baut Mems-Lautsprecher für Kopfhörer
  3. Automute Stummschalten beim Ausstöpseln der Kopfhörer

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

  1. Re: Elektro SUV = Schwachsinn

    schnedan | 22:31

  2. Re: Angehörige belasten

    Schnarchnase | 22:27

  3. Re: Der letzte Absatz

    NaruHina | 22:25

  4. Re: Funktionieren Neu (und real) Verfilmungen von...

    Butterkeks | 22:24

  5. Drei zuviel

    Shismar | 22:14


  1. 19:00

  2. 18:40

  3. 18:20

  4. 18:00

  5. 17:08

  6. 16:49

  7. 15:55

  8. 15:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel