Fennek
Diskussionsleiter
Profil anzeigen
Private Nachricht
Link kopieren
Lesezeichen setzen
dabei seit 2010
Profil anzeigen
Private Nachricht
Link kopieren
Lesezeichen setzen
Covert Redirect Bug - Sicherheitslücke in OAuth und OpenID
02.05.2014 um 19:39Nach OpenSSL hat es nun die nächste große Open-Source-Software erwischt:
OAuth 2.0 und OpenID.
OAuth und OpenID sind Dienste, die es einem erlauben sich über einen anderen Dienst (z.B. Google, Twitter oder Facebook) einzuloggen, damit man sich nicht ein neues Konto für jede Seite anlegen muss. Oft sieht man das z.B. in Kommentarfunktionen von Newsseiten etc.
Der chinesische Student Wang Jing hat nun in dieser Software eine Sicherheitslücke gefunden, die das Ausspähen von Daten ermöglicht.
Facebook hat bereits angekündigt, dass die Behebung der Lücke einige Zeit in Anspruch nehmen kann.
Quelle: http://stadt-bremerhaven.de/oauth-2-0-und-openid-schwere-sicherheitsluecke-gefunden/
OAuth 2.0 und OpenID.
OAuth und OpenID sind Dienste, die es einem erlauben sich über einen anderen Dienst (z.B. Google, Twitter oder Facebook) einzuloggen, damit man sich nicht ein neues Konto für jede Seite anlegen muss. Oft sieht man das z.B. in Kommentarfunktionen von Newsseiten etc.
Der chinesische Student Wang Jing hat nun in dieser Software eine Sicherheitslücke gefunden, die das Ausspähen von Daten ermöglicht.
Ein Angreifer könnte mit einem speziellen Phishing-Link das Opfer dazu bringen, sich via Facebook einzuloggen – hierzu bedient sich der Angreifer einer legitimen Adresse und eines legitimen App-Logos – stellt euch hier irgendeinen Dienst vor.Folgende großen Anbieter sind von der Sicherheitslücke betroffen:
Autorisiert sich der Angegriffene via der Methode, so hat der Angreifer Zugriff auf Daten, die zum Beispiel bei Facebook hinterlegt sind. Prinzipiell werden also die Daten freigegeben, die die App beim Login beim OAuth- oder OpenID-Provider einfordert. Bei Facebook könnte das eure Telefonnummer sein, eure Mail-Adresse, euer Geburtstag oder ähnliches – auch das Weiterleiten auf eine mit Malware verseuchte Seite könnte möglich sein, oder das Verwalten eures Accounts.
Facebook hat bereits angekündigt, dass die Behebung der Lücke einige Zeit in Anspruch nehmen kann.
Quelle: http://stadt-bremerhaven.de/oauth-2-0-und-openid-schwere-sicherheitsluecke-gefunden/