Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on ist praktisch, wird aber oft falsch implementiert. Sicherheitsforscher haben demonstriert, welche Fehler App-Entwickler dabei machen. Mehrere hundert Apps machten dabei Probleme.

Sicherheitsforscher haben auf der Konferenz Blackhat EU eine Schwachstelle in der Nutzung von OAuth 2.0 durch zahlreiche mobile Apps demonstriert [PDF]. OAuth-kompatible Dienste ermöglichen es, Accounts großer Provider wie Facebook oder Google auch auf anderen Webseiten zu nutzen, ohne sich erneut anzumelden.

Anzeige

Betroffen sind Apps von Anbietern, die Dienste wie Google, Sina oder Facebook als Identity Provider (IdP) nutzen, um Single Sign-on anzubieten. Das größte Problem aus Sicht der Sicherheitsforscher: OAuth 2.0 schreibt nicht detailliert vor, wie die anfragende App die Informationen verwalten und verifizieren soll.

Wird OAuth über einen Webbrowser genutzt, gibt es drei beteiligte Parteien, nämlich den Server des IdP, den Backend-Server des Dienstanbieters und den User-Agent des Browsers, der vom Anwender genutzt wird.

Im Setup auf mobilen Geräten hingegen gibt es die beiden Server, außerdem noch die App des Diensteanbieters und des IdP. Die jeweiligen Apps sind nicht durch die Spezifikationen von OAuth 2.0 abgedeckt, können also von den Anbietern selbst verwaltet werden.

Hier gibt es verschiedene Fehler, so verzichten viele Apps auf eine Signaturprüfung und akzeptieren gesendete Nutzer-IDs somit ohne weitere Prüfung. Andere Apps extrahieren auf Serverseite einfach nur die von Googles Server gesendete User-ID und leiten diese an die Client-App weiter, erneut ohne Prüfung auf Validität.

Zahlreiche Apps betroffen

Bei rund 600 untersuchten Apps sollen 41,2 Prozent verschiedene Sicherheitsmängel aufgewiesen haben, die auf fehlerhafte Implementierungen zurückgehen. Die Apps wurden insgesamt 2,4 Milliarden Mal heruntergeladen, so kommen die Forscher auf rund eine Milliarde verwundbare Accounts.

Keine Nutzerinteraktion erforderlich 

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...



Anzeige

Stellenmarkt
  1. über JobLeads GmbH, Stuttgart
  2. SelectLine Software GmbH, Magdeburg
  3. MTU Friedrichshafen GmbH, Friedrichshafen
  4. KNECHT Kellerbau GmbH über Tauster GmbH, Metzingen


Anzeige
Blu-ray-Angebote
  1. 69,99€ (DVD 54,99€)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. 25 % Rabatt beim Kauf von drei Neuheiten, Box-Sets im Angebot)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  2. Autonomes Fahren

    Der Truck lernt beim Fahren

  3. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  4. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  5. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  6. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  7. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  8. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft

  9. V8 Turbofan

    Neuer Javascript-Compiler für Chrome kommt im März

  10. Motion Control

    Kamerafahrten für die perfekte Illusion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

  1. Re: First World Problems

    Icestorm | 07:46

  2. Re: Delays wegen Handgepäck, slightly OT

    Icestorm | 07:38

  3. Re: Bei 70cm dürfte der Sitz nur max. 2cm verbrauchen

    NaruHina | 07:33

  4. Re: Klasse, wie "open" dieses Open Source doch ist.

    Lasse Bierstrom | 07:28

  5. Re: Die Nachrichtendienste spionieren

    AlexanderSchäfer | 07:21


  1. 18:02

  2. 17:43

  3. 16:49

  4. 16:21

  5. 16:02

  6. 15:00

  7. 14:41

  8. 14:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel