{"id":3170,"date":"2014-05-05T08:16:49","date_gmt":"2014-05-05T08:16:49","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=3170"},"modified":"2021-05-03T13:45:21","modified_gmt":"2021-05-03T11:45:21","slug":"facebook-openid-oauth-sicherheitsluecke","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/facebook-openid-oauth-sicherheitsluecke\/3170\/","title":{"rendered":"Bleiben Sie wachsam: OpenID und OAuth sind angreifbar"},"content":{"rendered":"

Nur ein paar Wochen nachdem die Heartbleed-Sicherheitsl\u00fccke<\/a> entdeckt wurde, sind Sie vielleicht besorgt wegen einem anderen, anscheinend ebenfalls weit verbreitetem Problem, das nicht so einfach zu l\u00f6sen ist. Dabei handelt es sich um den Covert-Redirection-Fehler, der von dem Mathematik-Studenten Wang Jing von der Nanyang Technological University in Singapore entdeckt wurde. Das Problem wurde in den Internet-Protokollen OpenID und OAuth gefunden. OpenID wird genutzt, wenn Sie sich auf einer Webseite mit Ihren Login-Daten von Google, Facebook, LinkedIn usw. einloggen k\u00f6nnen. Oauth kommt dagegen ins Spiel, wenn Sie Seiten, Apps oder Dienste per Facebook\/G+\/usw. authorisieren, ohne dabei wirklich Ihr Passwort und Ihre Login-Daten an die entsprechende Seite zu \u00fcbermitteln. Diese zwei Protokolle werden meist gemeinsam verwendet, und wie sich herausstellte, k\u00f6nnten Ihre Informationen dadurch in die falschen H\u00e4nde gelangen.<\/p>\n

Die Gefahr<\/h2>\n

Unsere Freunde von Threatpost<\/a> haben eine technischere Erkl\u00e4rung des Problems, inklusive dem Link zur Forschungsarbeit von Wang Jing, doch hier wollen wir uns darauf beschr\u00e4nken, die m\u00f6glichen Angriffe und Konsequenzen zu beleuchten. Zun\u00e4chst muss ein Anwender eine sch\u00e4dliche Phishing-Seite<\/a> besuchen, die den \u00fcblichen Mit-Facebook-einloggen-Knopf enth\u00e4lt. So eine Seite sieht meist anderen Drittanbietern sehr \u00e4hnlich oder tarnt sich als komplett neuer Service. Klickt man auf den Knopf, erscheint ein echtes Facebook\/G+\/LinkedIn-Popup-Fenster, das den Anwender auffordert, sein Login und Passwort zur Authorisierung einzugeben. Anschlie\u00dfend wird die Authorisierung \u00fcber einen falschen Redirect an die falsche (Phishing-)Seite gesendet.<\/p>\n

Der Anwender besucht eine Phishing-Seite und versucht, sich \u00fcber Facebook oder einen anderen OpenID-Dienst einzuloggen.<\/div>\n

Dadurch erh\u00e4lt der Cyberkriminelle eine echte Authorisierung (ein so genanntes OAuth-Token), um mit allen der App gew\u00e4hrten Rechte auf das Profil des Anwenders zugreifen zu k\u00f6nnen \u2013 im besten Fall sind das nur die grundlegenden Nutzerdaten, im schlimmsten Fall kann der Angreifer die Kontakte auslesen, Nachrichten senden, usw.<\/p>\n

Problem gel\u00f6st? Eigentlich nicht<\/h2>\n

Die Gefahr wird so schnell nicht verschwinden, denn das Problem muss sowohl auf Provider-Seite (Facebook, LinkedIn, Google usw.), als auch auf Client-Seite (Apps oder Services von Drittanbietern) gel\u00f6st werden. Das OAuth-Protokoll ist immer noch im Beta-Stadium und viele Provider nutzen ganz unterschiedliche Implementationen, die sich in Ihren M\u00f6glichkeiten, die genannte Bedrohung abzuwheren, unterscheiden. LinkedIn hat das entsprechende Update implementiert und strengere Vorgaben f\u00fcr Drittanbieter festgelegt, die eine Allow-Liste richtiger Redirects vorlegen m\u00fcssen. Momentan ist also jede App, die eine LinkedIn-Authorisierung nutzt entweder sicher oder sie funktioniert nicht. Bei Facebook ist das anders, da hier viel mehr Apps von Drittanbeitern sowie das \u00e4ltere OAuth-Protokoll genutzt werden. Deshalb sagten Facebook-Sprecher, dass Allowlisting \u201ekurzfristig nicht eingesetzt werden k\u00f6nnen.\u201c<\/p>\n

Es gibt viele andere Provider, die \u00fcber die Sicherheitsl\u00fccke angreifbar sind (dargestellt im folgenden Bild), wenn Sie sich also auf Webseiten mit deren Login-Daten einloggen, sollten Sie nun handeln.<\/p>\n

\u00a0\"liste\"<\/p>\n

Das m\u00fcssen Sie tun<\/h2>\n

Alle ganz vorsichtigen Nutzer m\u00fcssen f\u00fcr einige Monate komplett darauf verzichten, OpenID und die praktischen Mit-X-einloggen-Kn\u00f6pfe zu verwenden. Vielleicht profitieren Sie dadurch sogar von besserem Schutz f\u00fcr Ihre Privatsph\u00e4re, denn die Nutzung solcher Login-M\u00f6glichkeiten erm\u00f6glicht auch die bessere Nachverfolgung Ihrer Online-Aktivit\u00e4ten und erlaubt immer mehr Seiten, Ihre demopgraphischen Daten zu lesen. Um es sich zu ersparen, sich all die unterschiedlichen Passw\u00f6rter merken zu m\u00fcssen, k\u00f6nnen Sie einfach einen guten Passwort-Manager verwenden<\/a>. Die meisten solcher Dienste bieten Multiplattform-Programme und Synchronisation \u00fcber die Cloud, so dass Ihnen Ihre Passw\u00f6rter auf jedem Ihrer Ger\u00e4te zur Verf\u00fcgung stehen.<\/p>\n

Ganz vorsichtige Nutzer sollten f\u00fcr einige Monate darauf verzichten, Facebook\/Google-Logins auf anderen Webseiten zu nutzen. #OpenID<\/p>Tweet<\/a><\/blockquote>\n

Wenn Sie aber die OpenID-Authorisation nutzen m\u00f6chten, ist das auch nicht so schlimm. Sie sollten dabei nur aufpassen, auf welchen Seiten Sie diese verwenden und sich vor Phishing-Betr\u00fcgereien<\/a> sch\u00fctzen, die meist mit einer aufr\u00fcttelnden E-Mail oder einem provokativen Link auf Facebook und anderen Sozialen Netzwerken beginnen. Wenn Sie sich auf einer Webseite mit Ihrem Facebook\/Google\/usw.-Login einloggen, sollten Sie die Adresse der Seite manuell eingeben oder ein Lesezeichen daf\u00fcr nutzen, und nicht einen Link in E-Mails oder einem Chat anklicken. Pr\u00fcfen Sie die Adresszeile sorgf\u00e4ltig, um nicht auf gef\u00e4lschte Seiten zu gelangen, und loggen Sie sich nicht bei komplett neuen Seiten mit OpenID ein, wenn Sie sich nicht hundertprozentig sicher sind, dass es sich um eine legitime Seite handelt und Sie auch wirklich auf der richtigen Seiten gelandet sind. Zudem sollten Sie das Surfen im Internet mit einer Sicherheitsl\u00f6sung wie Kaspersky Internet Security \u2013 Multi-Device<\/a> sch\u00fctzen, die Ihren Browser davon abh\u00e4lt, gef\u00e4hrliche Seiten zu \u00f6ffnen.<\/p>\n

Das alles sind \u00fcbrigens ganz normale Vorsichtsma\u00dfnahmen, die jeder Internetnutzer t\u00e4glich beachten sollte, da Phishing sehr verbreitet ist und schnell zu Datendiebstahl und dem Verlust von Kreditkartennummern, E-Mail-Logins und anderen wichtigen Dingen f\u00fchren kann. Der Covert-Redirect-Fehler in OpenID und OAuth ist nur ein weiterer Grund, diese Vorsichtsma\u00dfnahmen zu beachten \u2013 ohne Ausnahme.<\/p>\n","protected":false},"excerpt":{"rendered":"

OpenID und OAuth sind die Protokolle hinter Funktionen wie \u201eMit Facebook einloggen\u201c oder \u201eMit Google authorisieren\u201c, die man heute auf vielen Seiten findet. Nat\u00fcrlich werden diese auch angegriffen, aber das ist kein Grund zu besonderer Panik.<\/p>\n","protected":false},"author":32,"featured_media":3171,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10],"tags":[37,39,1016,1015,1014,53,260],"class_list":{"0":"post-3170","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-facebook","9":"tag-google","10":"tag-kaspersky-internet-security-multi-device","11":"tag-oauth","12":"tag-openid","13":"tag-phishing","14":"tag-sicherheitslucke"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/facebook-openid-oauth-sicherheitsluecke\/3170\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/facebook\/","name":"Facebook"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=3170"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3170\/revisions"}],"predecessor-version":[{"id":26680,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3170\/revisions\/26680"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/3171"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=3170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=3170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=3170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}