Facebook-Login: Lücke in OpenID und OAuth verunsichert

In den Authentifizierungssystemen OpenID und OAuth 2.0 wurde eine Sicherheitslücke bekannt, die es Angreifern ermöglichen soll, Daten der Nutzer zu stehlen und diese auf unsichere Webseiten umzuleiten. Wie Cnet berichtet, habe Wang Jing, ein Doktoratsstudent aus Singapur, die Schwachstelle, genannt “Covert Redirect”, in den beiden Systemen aufgespürt. Viele große Webseiten und Techfirmen wie Facebook, Google und Microsoft nutzen OpenID und OAuth.

Damit können sich Nutzer bei anderen Diensten mittels beispielsweise Facebook- oder Google-Account anmelden, ohne sich extra registrieren zu müssen. Weil dieses Authentifizierungssystem sehr einfach anwendbar ist, wird es auch von sehr vielen Usern genutzt.

Gefahr auf Phishing-Seiten

Klickt nun jemand auf einen mit Malware infizierten Phishing-Link, könne es passieren, dass ein Facebook- oder Google-Login-Fenster aufpoppt. Loggt sich ein User damit ein, können die Daten an den Angreifer anstatt an die Seite geschickt werden. Auch eine Umleitung auf eine andere Website, die von den Angreifern ausgewählt wurde, ist laut dem Bericht des Studenten möglich. Im schlimmsten Fall könnten Daten wie E-Mailadresse, Geburtsdatum oder Kontaktlisten abgegriffen werden. Laut Cnet-Bericht sei es auch potenziell möglich, Kontrolle über den gesamten Account des Users zu erlangen.

Bekanntes Problem

Andere US-Medien versuchen indes zu beruhigen, Covert Redirect sei mit den Ausmaßen von Heartbleed nicht zu vergleichen, schreibt etwa ZDNet. Zudem handle es sich um ein bekanntes Problem. Dieses liege auch nicht in OpenID oder OAuth selbst, sondern entstehe je nachdem, wie die Systeme von den Webseiten implementiert würden. Schon im März 2013 hatte es offenbar ähnliche Meldungen zu der Schwachstelle gegeben.

Wang schreibt, er habe sich an Google, Facebook, Microsoft und LinkedIn gewandt und das Problem gemeldet. Die Firmen reagierten unterschiedlich. Seitens Google und Facebook etwa hieß es, man “verfolge” die Sache und sei sich der Risiken bewusst. LinkedIn hat dazu einen Blogpost veröffentlicht und Microsoft antwortete, der Bug sei untersucht, aber nicht auf den eigenen Seiten gefunden worden.

Bei Usern bleibt nach den zahlreichen Meldungen rund um Heartbleed natürlich Verunsicherung, auch wenn die Sicherheitslücke mit den Ausmaßen der OpenSSL-Schwachstelle nicht zu vergleichen ist.