Start News Schwere Sicherheitslücke in OAuth und OpenID

Sicherheitsforscher der Universität Nanyang in Singapur haben eine schwere Sicherheitslücke in OAuth und OpenID gefunden.

Angreifer können einem Benutzer einen gefälschten Login unterjubeln und sich so die Nutzerdaten beschaffen.

Folgende Dienste benutzen OAuth und OpenID:

http://www.zdnet.de/wp-content/uploads/2014/05/covert-redirect-provider.jpg

http://www.zdnet.de/wp-content/uploads/2014/05/covert-redirect-provider.jpg

Facebook, Google, Yahoo, LinkedIn, Microsoft, PayPal, QQ, Weibo, VK, GitHub, Taobao und Mail.Ru.

Die betreffenden Firmen wurden damit konfrontiert.
Facebook sei den mit OAuth 2.0 verbundenen Risiken bewusst. Es sei aber nicht kurzfristig zu lösen.
Google beobachtet das Problem.
LinkedIn versprach einen Blogeintrag dazu.
Microsoft meinte, dass die Schwachstelle auf einer anderen und nicht der eigenen Seite bestehen würde. 

Jeremiah Grossman von WhiteHat Security nach Durchsicht des Berichts:“Ich kann es nicht zu 100 Prozent sagen, aber ich könnte schwören, dass ich schon einmal einen Bericht zu einer sehr ähnlichen oder der gleichen Schwachstelle in OAuth gelesen habe. Es scheint so, als sei das ein ‘Wontfix’ – eine bekannte Schwachstelle, die man nicht zu beheben bereit ist. Das wäre auch nicht leicht möglich, und effiziente Gegenmaßnahmen würden sich negativ auf die Nutzererfahrung auswirken. Ein weiteres Beispiel dafür, dass es im Internet keine Sicherheit gibt und dass die bestehenden Großmächte kein Interesse daran haben, grundlegende Schwächen zu beheben.”

Quelle

Hier der Beitrag in unserem Forum.

Vielleicht interessiert Dich auch:

3 Kommentare

NSA hatte/hat Zugriff auf Outlook/OneDrive und Co | BB10QNX.de 15. Mai 2014 - 15:11

[…] NSA hätte auch die schwere Sicherheitslücke in OAuth und OpenID ausnutzen können, brauchte sie aber nicht. Sie bekamen wohl Hilfe seitens Microsoft, da Microsoft […]

Android Apps: Geheime Schlüssel sind es nicht mehr | BB10QNX.de 20. Juni 2014 - 17:55

[…] Tokens. Google zur Verwendung von OAuth 2.0 mit dynamisch generierten Token. Schade nur, dass OAuth eine schwere Sicherheitslücke aufweist. Facebook empfiehlt Anfragen der App durch dessen Server zu leiten und die Passwörter auf dem […]

Sicherheitsanalyse von beliebten BlackBerry 10 Anwendungen und Stellungnahme Nemory Studios | BB10QNX.de 9. Februar 2015 - 17:16

[…] Nachrichten). Der Login für den Messenger nutzt https SSL und Secure OAuth von Facebook (obwohl in OAuth auch schwere Sicherheitslücken […]

Kommentarfunktion geschlossen.