Social Logins: Der einfache Türöffner für Cyber-Kriminelle

Immer mehr Menschen tummeln sich in Sozialen Netzwerken. Nach einer Online-Studie von ARD/ZDF sind in Deutschland rund 23,5 Millionen Nutzer, die älter als 14 Jahre sind, auf Facebook unterwegs. Berücksichtigt man auch noch die Anwender unter 14 Jahren, nutzen geschätzt etwa 26 Millionen Menschen die Plattform. Dass Cyberkriminelle mittlerweile Social Media Logins von Facebook-Nutzern stehlen, um sich auf deren Webkonten einzuloggen und großen Schaden damit anrichten können, ist vielen nicht bekannt.

Lückenhafte Sicherheitsüberprüfungen

Möglich machen dies unzureichende Sicherheitsüberprüfungen der Anbieter von Sozialen Netzwerken. Denn Soziale Logins stellen eine Alternative zu herkömmlichen Authentifizierungen dar. Sie ermöglichen es Nutzern sich bequem auf ihren Web-Konten anzumelden, ohne ihren Benutzernamen oder ihr Passwort einzugeben. Die meisten Webseiten bieten einen Social Login via Facebook, LinkedIn, Twitter oder Google Plus.

Diesen haben sich die Forscher von Bitdefender jetzt zu nutze gemacht, um die Identität eines Anwenders zu stehlen und via Facebook-Login-Plugin Zugriff auf seine Web-Konten zu erhalten. „Das ist eine ernste Sicherheitslücke, sie ermöglicht es Angreifern sich auf den meisten Webseiten anzumelden, die ein Facebook-Login unterstützen“, erläutert Cernica Ionut, Forscher bei Bitdefender. „Dadurch sind Kriminelle beispielsweise in der Lage, Zahlungen im Namen des Nutzers auf einer E-Commerce-Website zu tätigen.“

Leichtes Spiel für Angreifer

Damit ein solcher Angriff erfolgreich ist, muss noch nicht einmal die E-Mail-Adresse des Opfers auf Facebook registriert sein. Viele Internet-User haben auf verschiedenen Webseiten unterschiedliche E-Mail-Adressen angegeben. Damit sind diese öffentlich zugänglich. Für Angreifer ist es leicht möglich, in den Besitz einer dieser Adressen zu gelangen und so einen Facebook-Account zu eröffnen. Um die Identität eines Anwenders zu überprüfen, ohne seinen Berechtigungsnachweis dafür einzuholen, nutzt der Facebook-Login das OAuth-Protokoll. OAuth autorisiert Facebook verschiedene Benutzerinformationen mit einer Drittanbieter-Website zu teilen.

Cyberkriminelle nutzen E-Mail-Adresse der Opfer

Den Forschern ist es gelungen, die Bestätigung zu umgehen, die normalerweise erforderlich ist, um eine neue E-Mail-Adresse auf Facebook zu registrieren. Während der Registrierung konnte die E-Mail-Adresse durch eine Mail-Adresse ausgetauscht werden, die bereits kontrolliert wurde. Nachdem die Seite aktualisiert war, hatte es den Anschein, dass die E-Mail-Adresse des Opfers bestätigt worden sei.

Als die Forscher sich dann über das Facebook-Login auf einer anderen Website – mit der E-Mail-Adresse des Opfers – anmeldeten, wurden sie gebeten, ihre eigene E-Mail-Adresse zu bestätigten, nicht die des Opfers. Denn in den Kontoeinstellungen in Facebook ist die Adresse des Opfers der primäre Kontakt, obwohl nur die Forscher den persönlichen Account bestätigt hatten. „Ich habe den Facebook-Login noch einmal verwendet und entschieden, den primären Kontakt von der Adresse des Opfers in meine Adresse zu ändern, dann habe ich erneut das Konto des Opfers als erstes Konto eingeben. Das ist ein ganz entscheidender Schritt, um das Problem zu reproduzieren“, sagt Cernica Ionut.

Auf einer anderen Website hat er den Facebook-Login dazu genutzt, um sich erfolgreich als Opfer zu registrieren. Die Seite hat die E-Mail-Adresse des Opfers – übergeben von Facebook – akzeptiert, so konnte er den bereits existierenden Account kontrollieren. „Daher wäre es empfehlenswert, dass der Identitätsanbieter – in diesem Fall Facebook – wartet, bis die E-Mail-Adresse bestätigt wurde“, resümiert Cernica Ionut. Dank der Hinweise der Sicherheitsforscher von Bitdefender hat Facebook diese Schwachstelle mittlerweile geschlossen.

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>