Abo
  • Services:

Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

Single Sign-on ist praktisch, wird aber oft falsch implementiert. Sicherheitsforscher haben demonstriert, welche Fehler App-Entwickler dabei machen. Mehrere hundert Apps machten dabei Probleme.

Artikel veröffentlicht am ,
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Sicherheitsforscher haben auf der Konferenz Blackhat EU eine Schwachstelle in der Nutzung von OAuth 2.0 durch zahlreiche mobile Apps demonstriert [PDF]. OAuth-kompatible Dienste ermöglichen es, Accounts großer Provider wie Facebook oder Google auch auf anderen Webseiten zu nutzen, ohne sich erneut anzumelden.

Inhalt:
  1. Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig
  2. Keine Nutzerinteraktion erforderlich

Betroffen sind Apps von Anbietern, die Dienste wie Google, Sina oder Facebook als Identity Provider (IdP) nutzen, um Single Sign-on anzubieten. Das größte Problem aus Sicht der Sicherheitsforscher: OAuth 2.0 schreibt nicht detailliert vor, wie die anfragende App die Informationen verwalten und verifizieren soll.

Wird OAuth über einen Webbrowser genutzt, gibt es drei beteiligte Parteien, nämlich den Server des IdP, den Backend-Server des Dienstanbieters und den User-Agent des Browsers, der vom Anwender genutzt wird.

Im Setup auf mobilen Geräten hingegen gibt es die beiden Server, außerdem noch die App des Diensteanbieters und des IdP. Die jeweiligen Apps sind nicht durch die Spezifikationen von OAuth 2.0 abgedeckt, können also von den Anbietern selbst verwaltet werden.

Stellenmarkt
  1. amedes Medizinische Dienstleistungen GmbH, Hamburg
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

Hier gibt es verschiedene Fehler, so verzichten viele Apps auf eine Signaturprüfung und akzeptieren gesendete Nutzer-IDs somit ohne weitere Prüfung. Andere Apps extrahieren auf Serverseite einfach nur die von Googles Server gesendete User-ID und leiten diese an die Client-App weiter, erneut ohne Prüfung auf Validität.

Zahlreiche Apps betroffen

Bei rund 600 untersuchten Apps sollen 41,2 Prozent verschiedene Sicherheitsmängel aufgewiesen haben, die auf fehlerhafte Implementierungen zurückgehen. Die Apps wurden insgesamt 2,4 Milliarden Mal heruntergeladen, so kommen die Forscher auf rund eine Milliarde verwundbare Accounts.

Keine Nutzerinteraktion erforderlich 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (2 Monate Sky Ticket für nur 4,99€)

MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...


Folgen Sie uns
       


Nintendo E3 2018 Direct - Golem.de Live

Wir zeigen uns enttäuscht von fehlenden Infos zu Metroid 4, erfreut vom neuen Super Smash und entzückt vom neuen Fire Emblem.

Nintendo E3 2018 Direct - Golem.de Live Video aufrufen
Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. ID Buzz und Crozz Volkswagen will Elektroautos in den USA bauen
  2. PFO Pininfarina plant Elektrosupersportwagen mit 400 km/h
  3. Einride Holzlaster T-Log fährt im Wald elektrisch und autonom

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

    •  /