Ein verbreiteter Fehler bei der Implementierung des Anmeldediensts OAuth 2.0 erlaubt es Angreifern bei Apps für Android und iOS unter Umständen Nutzerkonten zu übernehmen und App-Daten auszulesen. Die von Forschern Chinese University of Hongkong entdeckte Problem steckt in über 41 Prozent der von ihnen untersuchten 600 Apps im Google Play Store. Dabei handelt es ich auch um einige weit verbreitete Anwendungen: Zwar nennen die Forscher keine Namen erklärten aber gegenüber TechRepublic, dass die fehlerhaften Apps insgesamt über eine Milliarde Mal heruntergeladen wurden.
OAuth erlaubt es Nutzern, sich bei Diensten und Apps mit dem Konto eines anderen Anbieters – oft Google oder Facebook – anzumelden. Dazu wird dann beispielsweise abgefragt, ob die eingegebenen Anmeldedaten den dort hinterlegten entsprechen. Dann wird ein Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.
Allerdings prüfen nicht alle Apps, ob die zusammen mit dem Token gesendete Signatur überhaupt gültig ist. Diese Apps wissen daher also nicht mit Sicherheit, ob die empfangene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.
Die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu richteten für ihre Arbeit einen gefälschten Log-in-Server ein. Um anfällige Apps zu übernehmen, erzeugten sie mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie dann die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server übermittelte die präparierten Anmeldedaten an die App.
Wurden sie von ihr akzeptiert, war dann der vollständige Zugriff auf das Profil des Opfers möglich. Je nach App ist es etwa möglich, persönliche Daten einzusehen, Beiträge im Namen anderer Nutzer zu verfasssen oder auf deren Rechnung einzukaufen.
Die Forscher haben Google und Facebook bereits über das Problem informiert. Die beiden Firmen arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um es zu beheben.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Cisco stellt neuen Ansatz zur umfassenden Absicherung der IT-Infrastruktur vor.
Deloitte-Studie äußert jedoch Verständnis für die Zurückhaltung der Kunden. Nutzen der Angebote sei hierzulande kaum…
Die Ziele einer Festplattenspiegelung und eines Backups sind unterschiedlich, sagt Sven Richter von Arcserve.
Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist, warnt Bernhard Kretschmer…
Rechenzentrumsbetreiber müssen einen ganzheitlichen Blick über die gesamte Infrastruktur haben, sagt Matthias Gromann von FNT…
Laut Gartner werden bis 2028 75 Prozent der Softwareentwickler in Unternehmen KI-gestützte Code-Assistenten verwenden.
