t3n News Software

Deutsche Forscher finden Sicherheitslücken im OAuth-Protokoll

Deutsche Forscher finden Sicherheitslücken im OAuth-Protokoll

Zum ersten Mal beschäftigt sich ein Paper mit der Sicherheit des OAuth-2-Standards. Zwar haben die Autoren zwei bisher unbekannte Sicherheitslücken gefunden – grundsätzlich ist der Standard aber ziemlich sicher.

Deutsche Forscher finden Sicherheitslücken im OAuth-Protokoll

OAuth 2. (Logo: OAuth)

OAuth 2: Forscher untersuchen die Sicherheit des Standards

OAuth wird unter anderem von Anbietern wie Facebook, Google, GitHub oder PayPal verwendet. Daher überrascht es auch etwas, dass bislang nur einzelne Implementationen des Standards auf Schwachstellen untersucht worden sind. Jetzt haben Ralf Küsters, Daniel Fett und Guido Schmitz von der Universität Trier erstmals einen genauen Blick auf den Standard selbst geworfen.

Forscher der Universität Trier haben einen Blick auf die Sicherheit des OAuth-2-Standards geworfen. (Grafik: OAuth)
Forscher der Universität Trier haben einen Blick auf die Sicherheit des OAuth-2-Standards geworfen. (Grafik: OAuth)

Ihre Untersuchung hat zwei bislang unbekannte Sicherheitslücken zu Tage befördert, die neben OAuth auch das darauf basierende OpenID-Connect betreffen. Eine davon bezieht sich auf eine temporäre Weiterleitung (HTTP Status-Code 307), während die Zweite auf einen Man-in-the-Middle-Angriff aufbaut. Beide Sicherheitslücken wurden anhand aktueller Implementationen des Standards verifiziert und den jeweiligen Arbeitsgruppen hinter dem OAuth-Standard und OpenID mitgeteilt. Die wiederum sollen die Sicherheitslücken ebenfalls bestätigt und die Verbesserungsvorschläge des Trios übernommen haben.

OAuth 2: Grundsätzlich sehr sicherer Standard

Das Paper macht allerdings deutlich, dass der OAuth-Standard, sofern richtig implementiert, ziemlich sicher ist. Grundsätzlich spricht demnach nichts gegen den Einsatz der schon weit verbreiteten Technologie.

Wer sich eingehender mit der Untersuchung der Forscher beschäftigen will, kann das OAuth-Paper als PDF-Datei über die arXiv-Portal der Cornell-University herunterladen.

Ebenfalls interessant ist unser Artikel „Hilfreiche ‚Schadsoftware‘ für das Internet der Dinge: Wifatch schließt Sicherheitslücke“.

via www.theregister.co.uk

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
7 Antworten
  1. von Jan am 08.01.2016 (11:14 Uhr)

    Eran Hammer (arbeitete an der Spezifikation zu OAuth 2.0 mit) hat schon vor 3 Jahren OAuth 2.0 kritisiert: https://vimeo.com/52882780
    Ob es sich dabei um die gleichen Sicherheitslücken handelt weiß ich nun nicht mehr, müsste man sich das Video nochmal anschauen.

    Antworten Teilen
    • von Daniel F. am 12.01.2016 (08:42 Uhr)

      Dabei handelt es sich natürlich nicht um die gleichen Lücken, sonst hätte das bei der OAuth-Arbeitsgruppe kaum jemanden interessiert.

      Antworten Teilen
  2. von Sicherheit hat viele Feinde am 08.01.2016 (12:40 Uhr)

    Nett wäre eine kurze Liste von Produkten und Firmen oder Einsatz-Zwecken wo es eingesetzt wird. Elster ? Datev ? Disqus-Anmeldung ? Google+-Anmeldung ? Twitter-Postings ? Ein Schwerpunkt vielleicht auch wo es oppositionelle benutzen die über Dienste-Middleman-Server dann ausgehorcht werden.

    "sofern richtig implementiert"
    Schon das schaffen viele ja nicht. Angebliche AES-Platten sind oft auch fehlerhaft implementiert.

    Ein U-Boot kann bzw. sollte nicht "ziemlich dicht" sein. Oder eine Pizza "ziemlich bakterien/viren-frei".

    Aber für sowas macht man sich natürlich keine Freunde und schlechte Software ist so normal das sogar die Behörde warnen muss:
    http://t3n.de/news/it-sicherheit-deutschland-bsi-658277/
    http://www.golem.de/news/brain-test-comeback-android-malware-in-googles-play-store-1601-118425.html
    http://t3n.de/news/android-malware-apps-schadsoftware-google-play-massvet-635334/
    Google hat Virustotal übernommen. Die könnten jede App automatisch überprüfen und wiederholtes hochladen unterbinden.
    Ist wohl nicht so wichtig für die Boni-Manager...
    Wofür dienen die Einstellungs-Tests eigentlich ? Um die/den nächste/nächsten Marissa Meyer zu finden ???

    Gabs nicht ein Einstein-Zitat das die Dummheit unendlich wäre ?
    Die Frage ist schon ewig ob die Summer der Programmierer-IQs logarithmisch oder linear (z.b. 5%) pro Jahr wächst. Exponentiell wächst die Programmiererzahl natürlich nicht aber vielleicht mit 10% so das eine Verwässerung stattfindet wenn die IQ-Summe nur mit 5% hinterher kommt. Fernsehen, Pop-Musik, Radio, Autos (heute E-Autos), Eisenbahn, Baumwolle,...(halt alles was irgendwann mal neu war) verdummen vielleicht ja doch...
    Doch dank Dr.h.c. Schavans Schulsystem-Förderung sind die Bewerber jedes Jahr immer besser und das könnt ihr alle doch sicher bestätigen...

    Wer Sarkasmus findet kann ihn behalten...

    Antworten Teilen
  3. von dustin am 08.01.2016 (23:50 Uhr)

    1) "Deutsche Forscher" Gibt es kein Paper in Deutsch?
    2) Zu Jan: Seine Arbeit ist unter https://github.com/hueniverse/hawk zu finden.

    Antworten Teilen
  4. von grep am 09.01.2016 (13:09 Uhr)

    Hallo ...,


    in regelmäßigen, relativ kurzen Intervallen werden nun schon seit geraumer Zeit schwere Sicherheitslücken 'hier und da' gefunden ... fragt sich wann resp. ob diese Serie noch enden wird.

    Jedenfalls besser als unentdeckte Lücken.


    Ciao, Sascha.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema
Deutsche IT-Forscher wollen Sicherheitslücken in IoT-Geräten aufspüren
Deutsche IT-Forscher wollen Sicherheitslücken in IoT-Geräten aufspüren

IT-Sicherheitsexperten der Universität Bochum wollen künftig Sicherheitslücken in vernetzten IoT-Geräten automatisch aufspüren. Als Grundlage für den Sicherheitscheck soll der Binärcode dienen. » weiterlesen

500-fache Speicherdichte: Forscher entwickeln super langsamen Superspeicher
500-fache Speicherdichte: Forscher entwickeln super langsamen Superspeicher

Er ist sehr langsam und funktioniert nur in eisiger Kälte: Ein neuer Superspeicher weiß dennoch zu überzeugen – aufgrund seiner riesigen Speicherdichte. » weiterlesen

Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten
Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten

Im Rahmen eines Hacking-Events wurden erneut Sicherheitslücken in vier beliebten Wordpress-Plugins aufgedeckt. Diesmal betroffen: Ninja-Forms, Icegram, Video-Player und Paid Membership Pro. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?