Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on ist praktisch, wird aber oft falsch implementiert. Sicherheitsforscher haben demonstriert, welche Fehler App-Entwickler dabei machen. Mehrere hundert Apps machten dabei Probleme.

Sicherheitsforscher haben auf der Konferenz Blackhat EU eine Schwachstelle in der Nutzung von OAuth 2.0 durch zahlreiche mobile Apps demonstriert [PDF]. OAuth-kompatible Dienste ermöglichen es, Accounts großer Provider wie Facebook oder Google auch auf anderen Webseiten zu nutzen, ohne sich erneut anzumelden.

Anzeige

Betroffen sind Apps von Anbietern, die Dienste wie Google, Sina oder Facebook als Identity Provider (IdP) nutzen, um Single Sign-on anzubieten. Das größte Problem aus Sicht der Sicherheitsforscher: OAuth 2.0 schreibt nicht detailliert vor, wie die anfragende App die Informationen verwalten und verifizieren soll.

Wird OAuth über einen Webbrowser genutzt, gibt es drei beteiligte Parteien, nämlich den Server des IdP, den Backend-Server des Dienstanbieters und den User-Agent des Browsers, der vom Anwender genutzt wird.

Im Setup auf mobilen Geräten hingegen gibt es die beiden Server, außerdem noch die App des Diensteanbieters und des IdP. Die jeweiligen Apps sind nicht durch die Spezifikationen von OAuth 2.0 abgedeckt, können also von den Anbietern selbst verwaltet werden.

Hier gibt es verschiedene Fehler, so verzichten viele Apps auf eine Signaturprüfung und akzeptieren gesendete Nutzer-IDs somit ohne weitere Prüfung. Andere Apps extrahieren auf Serverseite einfach nur die von Googles Server gesendete User-ID und leiten diese an die Client-App weiter, erneut ohne Prüfung auf Validität.

Zahlreiche Apps betroffen

Bei rund 600 untersuchten Apps sollen 41,2 Prozent verschiedene Sicherheitsmängel aufgewiesen haben, die auf fehlerhafte Implementierungen zurückgehen. Die Apps wurden insgesamt 2,4 Milliarden Mal heruntergeladen, so kommen die Forscher auf rund eine Milliarde verwundbare Accounts.

Keine Nutzerinteraktion erforderlich 

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...



Anzeige

Stellenmarkt
  1. über Harvey Nash GmbH, Berlin
  2. TARGOBANK AG & Co. KGaA, Duisburg
  3. Radeberger Gruppe KG, Frankfurt am Main
  4. DIRINGER & SCHEIDEL GmbH & Co. Beteiligungs KG, Mannheim


Anzeige
Spiele-Angebote
  1. ab 129,99€
  2. 25,99€
  3. 23,99€

Folgen Sie uns
       


  1. Netgear Nighthawk X6S

    Triband-Router kann mit Sprache gesteuert werden

  2. Spark

    DJI-Minicopter stürzt ab

  3. Nachfolger Watchbox

    RTL beendet Streamingportal Clipfish

  4. Chipmaschinenausrüster

    ASML demonstriert 250-Watt-EUV-System

  5. Linux-Distribution

    Opensuse Leap 42.3 baut Langzeitpflege aus

  6. Soziales Netzwerk

    Facebook soll an Smart-Speaker mit Display arbeiten

  7. Kumu Networks

    Vollduplex-WLAN auf gleicher Frequenz soll noch 2018 kommen

  8. IT-Dienstleister

    Daten von 400.000 Unicredit-Kunden kompromittiert

  9. Terrorismusbekämpfung

    Fluggastdatenabkommen mit Kanada darf nicht in Kraft treten

  10. Makeblock Airblock im Test

    Es regnet Drohnenmodule



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

  1. Re: Ich benutze zwar kein Android

    nachgefragt | 16:51

  2. Re: uuuuund noch ein Streaming-Dings.

    mnementh | 16:51

  3. Benötigt Thunderbolt 3 beide High Speed Lanes?

    Graveangel | 16:50

  4. Re: Erster Eindruck..

    der_wahre_hannes | 16:49

  5. Re: Comdirect ist ganz nice

    norinofu | 16:46


  1. 16:53

  2. 16:22

  3. 14:53

  4. 14:15

  5. 14:00

  6. 13:51

  7. 13:34

  8. 12:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel