Gravierende Sicherheitslücken im Log-in-Verfahren OAuth entdeckt
Informatikern der Universität Trier zufolge konnten sich bei Angeboten, die das weitverbreitete Verfahren verwenden, Unbefugte Zugriff auf Benutzerkonten und persönliche Daten verschaffen. Die zuständige IETF -Arbeitsgruppe hat ein Krisentreffen einberufen. Der Standard OAuth wurde inzwischen angepasst.
Informatiker der Universität Trier haben gravierende Sicherheitslücken im Log-in-Verfahren OAuth entdeckt. Die Trierer IT-Sicherheitsforscher Daniel Fett, Ralf Küsters und Guido Schmitz fanden heraus, dass sich darüber Unbefugte Zugriff auf Benutzerkonten dieser Dienste und Daten anderer Nutzer verschaffen können.
OAuth kommt bei vielen Angeboten zum Einsatz, die zum Beispiel “Log-in mit Facebook” oder “Anmelden mit Google” anbieten. Das vom Nutzer ohnehin schon verwendete Facebook- oder Google-Konto dient dabei zur Legitimation gegenüber dem Drittangebot. Der Vorteil ist, dass Nutzer sich keinen neuen Benutzernamen und kein neues Passwort ausdenken und merken müssen.
Nachdem die zuständige IETF -Arbeitsgruppe informiert worden war, hat die OAuth Working Group die Fehler eingeräumt und zusammen mit den Trierer Wissenschaftlern einen Lösungsansatz ausgearbeitet. Die beiden zuvor unbekannten Angriffsmöglichkeiten stecken auch im neuen Standard OpenID Connect und sind nicht nur im Labor, sondern auch in der Praxis ausnutzbar.
Im Rahmen ihrer Analyse von OAuth haben die Wissenschaftler aber nicht nur die beiden Schwachstellen gefunden, sondern gleichzeitig auch dargelegt, dass es keine anderen geben kann. Diese Aussage untermauern sie mit einem mathematischen Beweis.