Ein verbreiteter Fehler bei der Implementierung des Anmeldediensts OAuth 2.0 erlaubt es Angreifern bei Apps für Android und iOS unter Umständen Nutzerkonten zu übernehmen und App-Daten auszulesen. Die von Forschern Chinese University of Hongkong entdeckte Problem steckt in über 41 Prozent der von ihnen untersuchten 600 Apps im Google Play Store. Dabei handelt es ich auch um einige weit verbreitete Anwendungen: Zwar nennen die Forscher keine Namen erklärten aber gegenüber TechRepublic, dass die fehlerhaften Apps insgesamt über eine Milliarde Mal heruntergeladen wurden.
OAuth erlaubt es Nutzern, sich bei Diensten und Apps mit dem Konto eines anderen Anbieters – oft Google oder Facebook – anzumelden. Dazu wird dann beispielsweise abgefragt, ob die eingegebenen Anmeldedaten den dort hinterlegten entsprechen. Dann wird ein Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.
Allerdings prüfen nicht alle Apps, ob die zusammen mit dem Token gesendete Signatur überhaupt gültig ist. Diese Apps wissen daher also nicht mit Sicherheit, ob die empfangene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.
Die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu richteten für ihre Arbeit einen gefälschten Log-in-Server ein. Um anfällige Apps zu übernehmen, erzeugten sie mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie dann die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server übermittelte die präparierten Anmeldedaten an die App.
Wurden sie von ihr akzeptiert, war dann der vollständige Zugriff auf das Profil des Opfers möglich. Je nach App ist es etwa möglich, persönliche Daten einzusehen, Beiträge im Namen anderer Nutzer zu verfasssen oder auf deren Rechnung einzukaufen.
Die Forscher haben Google und Facebook bereits über das Problem informiert. Die beiden Firmen arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um es zu beheben.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
