Apps häufig über schlampige Authentifizierung angreifbar

MobileMobile Apps

Bei 41 Prozent von 600 durch Forscher der Chinese University of Hongkong untersuchten Apps ist die Übernahme von Nutzerkonten möglich. Betroffen sind sowohl Android-Apps als auch Anwendungen für iOS. Sie prüfen die Echtheit der von Google oder Facebook übermittelten Anmeldedaten nicht oder unzureichend.

Ein verbreiteter Fehler bei der Implementierung des Anmeldediensts OAuth 2.0 erlaubt es Angreifern bei Apps für Android und iOS unter Umständen Nutzerkonten zu übernehmen und App-Daten auszulesen. Die von Forschern Chinese University of Hongkong entdeckte Problem steckt in über 41 Prozent der von ihnen untersuchten 600 Apps im Google Play Store. Dabei handelt es ich auch um einige weit verbreitete Anwendungen: Zwar nennen die Forscher keine Namen erklärten aber gegenüber TechRepublic, dass die fehlerhaften Apps insgesamt über eine Milliarde Mal heruntergeladen wurden.

OAuth erlaubt es Nutzern, sich bei Diensten und Apps mit dem Konto eines anderen Anbieters – oft Google oder Facebook – anzumelden. Dazu wird dann beispielsweise abgefragt, ob die eingegebenen Anmeldedaten den dort hinterlegten entsprechen. Dann wird ein Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.

Authentifizierungsverfahren OAuth (Grafik: OAuth)

Allerdings prüfen nicht alle Apps, ob die zusammen mit dem Token gesendete Signatur überhaupt gültig ist. Diese Apps wissen daher also nicht mit Sicherheit, ob die empfangene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.

Die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu richteten für ihre Arbeit einen gefälschten Log-in-Server ein. Um anfällige Apps zu übernehmen, erzeugten sie mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie dann die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server übermittelte die präparierten Anmeldedaten an die App.

Wurden sie von ihr akzeptiert, war dann der vollständige Zugriff auf das Profil des Opfers möglich. Je nach App ist es etwa möglich, persönliche Daten einzusehen, Beiträge im Namen anderer Nutzer zu verfasssen oder auf deren Rechnung einzukaufen.

Die Forscher haben Google und Facebook bereits über das Problem informiert. Die beiden Firmen arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um es zu beheben.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen