Lücke in Web 2.0 stiehlt echte Identität

Die Lücke trägt die Bezeichnung ‘JavaScript Hijacking’ und erlaubt den Angaben zufolge einem Angreifer, Daten eines vertrauenswürdigen Users für eigene, missbräuchliche Zwecke zu emulieren.

Gelingt dem Hacker dies, kann er kritische Daten auslesen, die zwischen der Anwendung und dem Browser, der JavaScript als Transportmedium einsetzt, hin und her geschickt werden. Der Angreifer kann dann all das tun, was der ehrliche Nutzer auch kann, beispielsweise Dinge kaufen und verkaufen oder Aktien handeln. Oder aber er kann das Unternehmen schädigen, das Web 2.0-Technologien einsetzt. Unter anderem könnte der Hacker nämlich auch die Sicherheitsrichtlinien des Firmennetzes verändern oder sich Zugang zu Kundendatenbanken verschaffen und diese manipulieren.

Der JavaScript-Missbrauch hat sich während der Untersuchung als ein allgegenwärtiges Problem entpuppt. Fortify analysierte die zwölf häufigsten Ajax-Frameworks, darunter die von Google, Microsoft, Yahoo sowie der Open-Source-Gemeinde. Nur Direct Web Remoting (DWR) 2.0 kann die ‘JavaScript-Entführung’ verhindern. Alle anderen versagten. Gefahr besteht aber auch für solche Frameworks, die von Fortify nicht getestet wurden. Der Anbieter, der jetzt ein Security Advisory mit Hilfen zur Problembeseitigung herausgebracht hat, erklärte, alle Ajax-Komponenten, die JavaScript als Transportmittel nutzten, seien gefährdet.

Die Meldung ruft vor allem Unternehmen auf den Plan, die Web 2.0 in ihre Firmeninfrastruktur integrieren wollen. Denn Social Networking hat sich längst vom reinen Consumer- zu einem Enterprise-Interesse gemausert. Selbst große Hersteller wie IBM bieten inzwischen Lösungen für Web 2.0 im Unternehmen an.