Sicherheitslücke in OAuth und OpenID entdeckt

Authentifizierungsverfahren werden bei Facebook oder Google eingesetzt

05/05/2014 | Bochum 

Eine schwere Sicherheitslücke wurde im Protokoll OAuth und dem Authentifizierungsverfahren OpenID entdeckt. Cyberkriminelle können dadurch Anwendern einen Log-in-Bildschirm vortäuschen, der eine legitime Domainadresse verwendet. Danach können Internetnutzer auf eine beliebige Webseite geschickt werden, wo ein zusätzlicher Angriff stattfindet. Die Angreifer können so an E-Mail-Adresse, Geburtsdatum, Kontaktlisten oder sogar an das gesamte Konto gelangen.

Unternehmen beobachten das Problem

Facebook und Google haben angekündigt das Problem im Auge zu behalten. Das Schließen dieser Lücke gestaltet sich schwierig, weil dadurch der Komfort für den Anwender eingeschränkt werden könnte. Eine effiziente Gegenmaßnahme wäre die Einführung einer Whitelist, die erlaubte Anwendungen für die Authentifizierung freischaltet und Fremdanwendungen blockt, aber dies würde für die Unternehmen wie Facebook ein immenser Aufwand bedeuten, da jede App aufgenommen werden müsste.

 

Was ist zu tun?

Anwender sollten bei Links Vorsicht walten lassen, die sie direkt zu einem Facebook- oder Google-Login führen. Insbesondere Links, die in einer E-Mail vorhanden sind, sollten nicht angeklickt werden. Ebenso sollte der Browser-Tab direkt geschlossen werden, wenn ein Login-Fenster aufspringt. Nur auf diesem Weg kann die automatische Weiterleitung zu einer präparierten Webseite verhindert werden.


cl