LinkedIn schlampt mit Zugangs-Cookies

Der indische Sicherheitsspezialist Rishi Narang warnt, dass LinkedIn schlampig mit den Zugangsdaten seiner Anwender umgeht und sich deshalb Unbefugte leicht dauerhaften Zugang zu fremden Konten verschaffen könnten.

So verschlüsselt LinkedIn zwar die Übertragung des Passworts, leitet danach aber auf unverschlüsselte Seiten um. Während der Nutzung des Web-2.0-Adressbuchs werden folglich unter anderem Sitzungs-Cookies unverschlüsselt übertragen. Kann ein Angreifer diese etwa in einem ungeschützten WLAN abhören, hat er damit auch vollen Zugang zum Account des Belauschten. Das demonstrierte Firesheep sehr eindrucksvoll, woraufhin unter anderem Twitter und Facebook eine Option eingeführt haben, optional alle Seiten via https zu besuchen.

Bei LinkedIn kommt jedoch noch erschwerend hinzu, dass das in einem Cookie namens LEO_AUTH_TOKEN gespeicherte Zugangs-Token offenbar auch nach dem Abmelden nicht verfällt und weiterhin vollen Zugang zum Account gewährt. Laut Narang soll es sogar Passwort-Änderungen überleben und erst nach einem Jahr verfallen.

Tatsächlich gelang es heise Security mit dem dem von Narang bereitgestellten Beispielsskript auch nach dem expliziten Abmelden ein Status-Update auf LinkedIn zu posten. Nach einer Passwort-Änderung funktionierte dies allerdings nicht mehr. Das kann aber durchaus daran liegen, dass LinkedIn derzeit das Session-Management überarbeitet. Dafür spricht, dass mittlerweile ein zweites Zugangs-Token auftaucht, bei dem das Secure-Flag gesetzt ist und das somit nur über verschlüsselte Verbindungen übertragen wird.

Update: LinkedIn hat in einen Blogeintrag Stellung zu dem Problem genommen. Demnach will man die Pläne zur flächendeckenden Einführung von SSL schneller umsetzen. Zudem will LinkedIn die Gültigkeitsdauer der Cookies heruntersetzen. Bis dahin empfiehlt man Anwendern, nur über geschützte WLANs zu surfen oder VPNs zu nutzen.

(ju)