Weitere Sicherheitslücke in HTTPS entdeckt
Sicherheitsforscher haben einen Weg gefunden, durch HTTPS geschützte URLs im Klartext einsehen zu können. Sie können so insbesondere bei Diensten wie Dropbox, die den OpenID-Standard nutzen und damit in den an Nutzer verschickten URLs Sicherheitstoken einbinden, persönliche Informationen ausspähen.
Itzik Kotler und Amit Klein vom Start-up SafeBreach wollen auf der kommende Woche stattfindenden Hackerkonferenz Black Hat 2016 zeigen, wie Angreifer URLs auch dann im Klartext sehen zu können, wenn Nutzer HTTPS verwenden. Denn in einem potenziell unsicheren Netzwerk wie einem kostenlosen WLAN, einem Netzwerk für Gäste oder auch dem Netzwerk eines Unternehmens, ist ihnen zufolge der Datenverkehr beim Einsatz ihrer Methode nicht vom ersten Byte an verschlüsselt.
“Wir werden demonstrieren, dass es möglich ist, an HTTPS-URLs zu kommen, indem Ihr Browser / das System zur Nutzung einer bösartigen Proxy AutoConfiguration (PAC) gezwungen wird”, erklären Kotler und Klein in der Ankündigung ihrer für 3. August geplanten Präsentation. “Wir werden erklären, wie sich das auf die Privatsphäre der Nutzer auswirkt und wie Anmeldedaten / Sessions gestohlen werden können.”
Die von ihnen verwendete “PAC Malware” kann plattformübergreifend über Betriebssysteme (Linux, Windows, Mac) und Webbrowser (Internet Explorer, Chrome, Safari) hinweg eingesetzt werden. Eine PAC-Datei (Proxy Auto-Config) ermöglicht es dem jeweiligen, automatisch den passenden Proxyserver für eine gewünschte URL zu finden. Bei ihrem Angriff greifen Kotler und Klein zudem auf das WPAD-Protokoll (Web Proxy Audodiscovery) zurück. Sie nutzen also Mechanismen aus, die für Nutzer Komfort und Sicherheit sowie für Anbieter hohe Kompatibilität gewährleisten sollen.
Kotler und Klein gelangen lediglich in den Besitz der vollen URL, die aufgerufen wird und erhalten keinen Einblick in den mittels HTTPS geschützt übertragenen Datenverkehr. Beim Aufruf von zum Beispiel silicon.de wäre das – abgesehen von Ländern in denen eine Zensur herrscht – weitgehend unproblematisch. Bei gewissen Diensten reicht die URL aber bereits aus, um die Sicherheit erheblich zu gefährden. Beispielsweise nutzt der OpenID-Standard URLs, um Anwender zu authentifizieren. Auch Sharing-Services, etwa von Dropbox und Google, übermitteln in der URL auch Sicherheitstoken.
Bereits im April zeigten Sicherheitsforscher eine Möglichkeit auf, WPAD und PAC für unerwünschte Aktionen auszunutzen. Sie installierte mittels einem als BlackMoon bezeichneten Banking-Trojaner auf infizierten Rechnern eine PAC-Datei. Der Browser leitete dann beim Aufruf bestimmter Sites Nutzer zu Phishing-Seiten um. Auf der Black-Hat-Konferenz wird sich neben dem Vortrag von Kotler und Klein auch eine weitere Präsentation mit Sicherheitsproblemen von WPAD und PAC beschäftigen.
Das 2014 in Israel gegründete Security-Start-up SafeBreach, bei dem Mitgründer Kotler und Klein arbeiten, hat seine Zentrale inzwischen an die US-Ostküste verlegt. Nach einer ersten Finanzierungsrunde über 4 Millionen Dollar hat es soeben seine zweite über 15 Millionen Dollar abgeschlossen. Neben den früheren Investoren Sequoia Capital und Shlomo Kramer sind jetzt auch Deutsche Telekom Capital Partners und Hewlett Packard Pathfinder an Bord. Das geld soll verwendet werden, um die hauptsächlich in Israel angesiedelten Forschungs- und Entwicklungsaktivitäten auszubauen sowie das Marketing anzukurbeln.
Tätigkeitsfeld von SafeBreach sind in erster Linie sogenannte Penetrationstests, mit denen Unternehmen feststellen, ob ihre Sicherheitsinfrastruktur Lücken aufweist. Im Gegensatz zu anderen Anbietern setzt SafeBreach dabei nicht vorrangig auf die mehr oder weniger transparente Arbeit von menschlichen Experten, sondern stellt eine SaaS-Plattform bereit, über die Firmen “virtuelle Hacker” bei der Arbeit beobachten und die Interaktion mit den vorhandenen Sicherheitssystemen erkennen können. Die simulierten Angriffsszenarien, für die SafeBreach ein Patent beantragt hat, sollen weder die echten Nutzer noch die installierten Systeme beeinträchtigen.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.