Abo
  • Services:
Anzeige
Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on: Eine Milliarde Accounts für Hijacking anfällig

Single Sign-on ist oft unsicher konfiguriert.
Single Sign-on ist oft unsicher konfiguriert. (Bild: Screenshot Golem.de)

Single Sign-on ist praktisch, wird aber oft falsch implementiert. Sicherheitsforscher haben demonstriert, welche Fehler App-Entwickler dabei machen. Mehrere hundert Apps machten dabei Probleme.

Sicherheitsforscher haben auf der Konferenz Blackhat EU eine Schwachstelle in der Nutzung von OAuth 2.0 durch zahlreiche mobile Apps demonstriert [PDF]. OAuth-kompatible Dienste ermöglichen es, Accounts großer Provider wie Facebook oder Google auch auf anderen Webseiten zu nutzen, ohne sich erneut anzumelden.

Anzeige

Betroffen sind Apps von Anbietern, die Dienste wie Google, Sina oder Facebook als Identity Provider (IdP) nutzen, um Single Sign-on anzubieten. Das größte Problem aus Sicht der Sicherheitsforscher: OAuth 2.0 schreibt nicht detailliert vor, wie die anfragende App die Informationen verwalten und verifizieren soll.

Wird OAuth über einen Webbrowser genutzt, gibt es drei beteiligte Parteien, nämlich den Server des IdP, den Backend-Server des Dienstanbieters und den User-Agent des Browsers, der vom Anwender genutzt wird.

Im Setup auf mobilen Geräten hingegen gibt es die beiden Server, außerdem noch die App des Diensteanbieters und des IdP. Die jeweiligen Apps sind nicht durch die Spezifikationen von OAuth 2.0 abgedeckt, können also von den Anbietern selbst verwaltet werden.

Hier gibt es verschiedene Fehler, so verzichten viele Apps auf eine Signaturprüfung und akzeptieren gesendete Nutzer-IDs somit ohne weitere Prüfung. Andere Apps extrahieren auf Serverseite einfach nur die von Googles Server gesendete User-ID und leiten diese an die Client-App weiter, erneut ohne Prüfung auf Validität.

Zahlreiche Apps betroffen

Bei rund 600 untersuchten Apps sollen 41,2 Prozent verschiedene Sicherheitsmängel aufgewiesen haben, die auf fehlerhafte Implementierungen zurückgehen. Die Apps wurden insgesamt 2,4 Milliarden Mal heruntergeladen, so kommen die Forscher auf rund eine Milliarde verwundbare Accounts.

Keine Nutzerinteraktion erforderlich 

eye home zur Startseite
MaxLiebermann 16. Nov 2016

Danke euch für die ausführliche Erklärung, es funktioniert also ähnlich wie Session...

whamster 16. Nov 2016

Völlig richtig. Deswegen macht die von mir zitierte Aussage, dass da alles festgezurrt...

My1 16. Nov 2016

deswegen bietet ein guter provider vlt mal ne lib an mit der sich der webseitebetreibe...



Anzeige

Stellenmarkt
  1. Power Service GmbH, Köln
  2. MediaMarktSaturn Retail Concepts, München
  3. ProCom GmbH, Aachen
  4. via 3C - Career Consulting Company GmbH, München, Stuttgart, Frankfurt, Hamburg, Köln


Anzeige
Top-Angebote
  1. (u. a. Samung UHD-TV 569,00€, LG UHD-OLED-TV 2.398,00€)
  2. ab 44,99€
  3. ab 13,53€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Streaming

    Akamai macht Videos mit Quic schneller

  2. United Internet

    1&1 bietet VDSL immer mehr über sein eigenes Netz an

  3. Videostreaming im Zug

    Maxdome umwirbt Bahnfahrer bei Tempo 230

  4. Synology FS1018

    Kleine Flashstation für SSDs und Adapterkarte für M.2-SSDs

  5. Reddit

    Drei Alpha-Profilseiten sind online

  6. Souq.com

    Amazon gibt 750 Millionen Dollar für Übernahme aus

  7. Let's Play

    Facebook ermöglicht Livevideos vom PC

  8. Ryzen-CPU

    Ach AMD!

  9. Sensor

    Mit dem Kopfpflaster Gefühle lesen

  10. Übernahme

    Apple kauft iOS-Automatisierungs-Tool Workflow



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer
  2. Apple Park Apple bezieht das Raumschiff
  3. Klage gegen Steuernachzahlung Apple beruft sich auf europäische Grundrechte

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  2. OCP Facebook rüstet das Rechenzentrum auf
  3. Social Media Facebook verbietet Datennutzung für Überwachung

  1. Re: nachtmodus: nette idee, bringt aber nichts ;)

    Arsenal | 13:19

  2. Re: Wer unterbezahlt ist hat wenigstens einen job.

    Dino13 | 13:19

  3. Re: Keine Ahnung warum die Leute Probleme haben.....

    HubertHans | 13:19

  4. Ob die auch vor dem Schräddern der Seite...

    Kleine Schildkröte | 13:16

  5. Re: Jetzt bräuchte maxdome nur noch

    Dino13 | 13:16


  1. 13:18

  2. 12:28

  3. 12:05

  4. 11:46

  5. 11:30

  6. 10:35

  7. 10:06

  8. 09:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel