Verdeckter Weiterleitungsfehler in OAuth wirkt sich nicht auf MYDIGIPASS.COM aus

Antwort-ID vasco-sr-20140505-oauth

Revisionsnummer 1.0

Erscheinungsdatum 05. Mai 2015, 10:57 UTC + 1

Letztes Update 05. Mai 2015, 10:57 UTC + 1

Zusammenfassung

Covert Redirect ist eine Sicherheitslücke bei der Implementierung von OAuth durch Application Service Providers (ASPs), mit der Angreifer die persönlichen Daten von Benutzern abrufen können, die ein Konto mit fehlerhaften ASPs haben. MYDIGIPASS.COM ist vor dem Covert Redirect-Fehler geschützt.

Was ist OAuth?

OAuth ist ein offenes Protokoll zur Autorisierung. OAuth gibt einen Prozess an, mit dem Anwendungen von Drittanbietern autorisiert werden, um Zugriff auf Benutzerkonten zu erhalten.

Was ist verdeckte Weiterleitung?

Covert Redirect ist eine Sicherheitslücke bei der Implementierung von OAuth durch Application Service Providers (ASPs), die erstmals am 2. Mai 2014 veröffentlicht wurde.
Im OAuth-Protokoll stellt die Website eines ASP (z. B. example.com) eine Autorisierungsanforderung an die Website eines Authentifizierungsanbieters (z. B. mydigipass.com). Diese Anforderung enthält eine URI, z. B. https://ASP.com/redirect/?&original_page=https://ASP.com/myprofile. Der Authentifizierungsanbieter fordert den Benutzer auf, sich bei der Domäne des Authentifizierungsanbieters anzumelden, und gibt dann einen Autorisierungscode an die ASP-Website (example.com) aus. Dieser Autorisierungscode wird vom Authentifizierungsanbieter an die ASP-Website übergeben, indem der Browser des Benutzers auf die in der Autorisierungsanforderung angegebene URI umgeleitet wird.
Der Fehler "Verdeckte Weiterleitung" liegt vor, wenn ASPs eine offene Weiterleitung zu einer von einem Gegner ausgewählten Webseite zulassen. In diesem Fall würde ein Gegner eine URI, die zu einer nicht autorisierten Website umleitet, in die Autorisierungsanforderung einfügen, und der ASP würde zu dieser umleiten. Beispielsweise würde der URI https://example.com/redirect/?&original_page=https://evil.com/myprofile dazu führen, dass ein fehlerhafter ASP den Browser des Benutzers zu https://evil.com/myprofile umleitet Die Rogue-Website kann anschließend auf die persönlichen Daten des Benutzers zugreifen.

Welche Auswirkungen hat Covert Redirect?

Angreifer können die Sicherheitslücke Covert Redirect ausnutzen, um den vom Authentifizierungsanbieter ausgestellten Autorisierungscode zu erhalten. Dieser Autorisierungscode kann wiederum verwendet werden, um auf Kontodaten von Benutzern zuzugreifen, die von Authentifizierungsanbietern gespeichert wurden. Diese Daten können anschließend für weitere böswillige Zwecke verwendet werden.

Ist MYDIGIPASS.COM anfällig für verdeckte Weiterleitung?

Nein ist es nicht.
MYDIGIPASS.COM führt zwei Überprüfungen durch, um sicherzustellen, dass dieser Fehler nicht vorliegt:

Zunächst überprüft MYDIGIPASS.COM, ob der URI in der Autorisierungsanforderung des ASP genau mit dem URI in den Konfigurationseinstellungen von MYDIGIPASS.COM für diesen ASP übereinstimmt, gemäß den Sicherheitsempfehlungen der IETF in Bezug auf OAuth. Dies stellt nicht nur sicher, dass MYDIGIPASS.COM zur Domäne des ASP umleitet, sondern auch, dass es nur zu der spezifischen Webseite weiterleitet, die vom ASP in MYDIGIPASS.COM registriert wurde.

Zweitens authentifiziert MYDIGIPASS.COM den ASP, wenn er im Rahmen einer Autorisierung ein Zugriffstoken anfordert. Der ASP muss MYDIGIPASS.COM sein Client-Geheimnis zur Verfügung stellen, um sich zu authentifizieren. Ein betrügerischer ASP kann das Client-Geheimnis nicht bereitstellen, was bedeutet, dass er nicht auf personenbezogene Daten der Benutzer von MYDIGIPASS.COM zugreifen kann.

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden. 

 

Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.

🖨 Verdeckter Umleitungsfehler in OAuth wirkt sich nicht auf MYDIGIPASS.COM aus