Ein verbreiteter Fehler bei der Implementierung des Anmeldediensts OAuth 2.0 erlaubt es Angreifern bei Apps für Android und iOS unter Umständen Nutzerkonten zu übernehmen und App-Daten auszulesen. Die von Forschern Chinese University of Hongkong entdeckte Problem steckt in über 41 Prozent der von ihnen untersuchten 600 Apps im Google Play Store. Dabei handelt es ich auch um einige weit verbreitete Anwendungen: Zwar nennen die Forscher keine Namen erklärten aber gegenüber TechRepublic, dass die fehlerhaften Apps insgesamt über eine Milliarde Mal heruntergeladen wurden.
OAuth erlaubt es Nutzern, sich bei Diensten und Apps mit dem Konto eines anderen Anbieters – oft Google oder Facebook – anzumelden. Dazu wird dann beispielsweise abgefragt, ob die eingegebenen Anmeldedaten den dort hinterlegten entsprechen. Dann wird ein Log-in-Token übermittelt, mit dem die eigentliche Anmeldung bei der App erfolgt.
Allerdings prüfen nicht alle Apps, ob die zusammen mit dem Token gesendete Signatur überhaupt gültig ist. Diese Apps wissen daher also nicht mit Sicherheit, ob die empfangene Kombination aus Nutzername und Passwort korrekt ist oder ob ihnen gefälschte Anmeldedaten untergeschoben wurden.
Die Forscher Ronghai Yang, Wing Cheong Lau und Tianyu Liu richteten für ihre Arbeit einen gefälschten Log-in-Server ein. Um anfällige Apps zu übernehmen, erzeugten sie mit einem eigenen Konto einen legitimen Anmeldetoken für eine bestimmte App. Über einen SSL-fähigen Man-in-the-Middle-Proxy ersetzten sie dann die eigene User-ID für diese App mit der ID des Opfers. Der Proxy-Server übermittelte die präparierten Anmeldedaten an die App.
Wurden sie von ihr akzeptiert, war dann der vollständige Zugriff auf das Profil des Opfers möglich. Je nach App ist es etwa möglich, persönliche Daten einzusehen, Beiträge im Namen anderer Nutzer zu verfasssen oder auf deren Rechnung einzukaufen.
Die Forscher haben Google und Facebook bereits über das Problem informiert. Die beiden Firmen arbeiten nun mit den Entwicklern der fraglichen Apps zusammen, um es zu beheben.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
The Royal Marsden NHS Foundation Trust hat gemeinsam mit NTT DATA und der KI-Plattform CARPL.ai…
Drogeriekette will Anwendungen flexibel auf Infrastrukturen on-premises und in der Cloud bereitstellen, um Flexibilitäts- und…
Cloud-Backups gelten als Versicherungspolice des digitalen Zeitalters, was nicht mehr stimmt, warnt Max Heinemeyer von…
Mitarbeiter spielen eine entscheidende Rolle für die Cyber-Resilienz eines Unternehmens, sagt Dr. Martin J. Krämer…
Doch trotz steigendem Interesse wissen viele Unternehmen nicht, wo sie anfangen sollen, um KI-Agenten sinnvoll…
Fabric hilft Plusnet bei der Etablierung einer stringenten Datenkultur und ermöglicht es den Fachbereichen, geschäftlichen…
