Single-Sign-on-Services gefährden Nutzer-Accounts

Big DataData & StoragePolitikRechtSicherheitSicherheitsmanagement

Arstechnica berichtet über eine 10 Monate lang durchgeführte Studie zu Single-Sign-on-Diensten (SSOs) wie sie etwa Google, PayPal und Facebook anbieten, um den Anwendern nach einem einzigen Login die Nutzung mehrerer Services zu erlauben. Das, so die Studie, könne von Dritten ausgenutzt werden.

Weil die SSO-Dienste ernstzunehmende logische Fehler hätten, so das Papier (PDF), das zum nächsten IEEE-Datenschutz-Symposium im Mai präsentiert werden soll, ließen sie sich leicht durch Dritte ausspionieren. So könnten sich Angreifer leicht im Namen des Users in Services einwählen, die diese Login-Services verwenden.

Die meisten SSOs arbeiten mit Programmier-Interfaces die die „echten“ Logindaten an Dienste weiter reichen, die durch die Single-Sign-on-Dienste erreicht werden können. Weil die notwendige Kommunikation jedoch zuerst über den Browser laufe, könne der ausgetauschte „Beweis“ für die Echtheit der Daten leicht abgefangen und verändert werden.

So habe man Lücken in Googles Sign-in-Dienst, in OpenID und in PayPal entdeckt. Fehler könnten jedoch auch bei Services vorkommen, die die Daten der SSOs nutzen, dabei aber einige Sicherheitsrichtlinien übersehen würden – meist, um die Programmierung zu vereinfachen.

Auf die Fehler aufmerksam gemacht, habe ein Programmierer bei Facebook sofort reagiert und auf die Richtlinien für Facebook-App-Programmierer verwiesen, die sichere Authentifizierung ausführlich beschreiben. Google habe keinen Kommentar abgeben wollen.

Ganz gefährlich, so die Sicherheitsforscher, seien die SSOs jedoch auch, weil Angreifer selbst ohne Zugriff auf den Quellcode oder irgendwelche gespeicherten Daten sehr leicht darauf kommen könnten, wie sie Logins missbrauchen könnten – schon die Diagnose und Analyse des Datenverkehrs, der über den Browser läuft, reiche dazu aus.

(Quelle: imageteam – Fotolia.com)

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen