Abgestempelt: Lücke im Briefmarken-Server der Deutschen Post [Update]
Die Deutsche Post hatte offenbar ein Problem in ihrem Dienst Stampit, das es Angreifern erlaubt hätte, online erworbene virtuelle Briefmarken anderer Kunden zu entwerten. Die Fehleranalyse gibt interessante Einblicke in die Funktionsweise des Services.
Die Deutsche Post hatte offenbar ein Problem in ihrem Dienst Stampit, das es Angreifern erlaubt hätte, online erworbene virtuelle Briefmarken anderer Kunden zu entwerten. Die Fehleranalyse von Alexander Klink vom Sicherheitsdienstleister Cynops gibt interessante Einblicke in die Funktionsweise des Services.
Anwender können via Stampit "Porto selbst drucken". Damit der Anwender eine solche virtuelle Briefmarke im PDF-Format nicht gleich mehrfach ausdruckt, telefoniert sie vorher nach Hause und fragt dort mit ihrer ID nach, ob sie noch gültig ist. Wenn der Server für diese ID nicht den Wert "true" zurückliefert, verweigert der Acrobat-Reader das Ausdrucken. Hat der Server dem Ausdruck einmal mit "true" zugestimmt, ist die ID entwertet, und weitere Anfragen liefern "false" zurück.
Klink hat durch Analyse der SOAP-Kommunikation festgestellt, dass die IDs nicht zufällig gewählt sind, sondern fortlaufend oder doch zumindest monoton ansteigend. Somit wäre es einem Angreifer möglich, durch gefälschte SOAP-Anfragen gezielt die Stampit-IDs anderer Kunden zu entwerten und eventuell sogar den Stampit-Betrieb ganz lahmzulegen. In der Kommunikation mit Klink hat die Deutsche Post eingeräumt, dass das Problem bereits bekannt sei und angekündigt, es würde in der nächsten Software-Version beseitigt. Dazu bat sie um Aufschub bis zum 27. August. Ob das Update bereits erfolgt ist, ist jedoch nicht bekannt.
Was die Online-Kontrolle im Hintergrund überhaupt bezwecken soll, ist nicht ganz klar. Denn die ausgedruckten Stampit-Briefmarken sind Unikate, und eine mehrfache Verwendung derselben ID würde spätestens beim Transport auffallen. Der Sicherheitsnotiz von Cynops ist auch zu entnehmen, dass die Kommunikation mit dem Server nicht kryptografisch gesichert ist – sprich, dass weder eine Authentifizierung des Servers noch eine digitale Signatur seiner Antworten erfolgt. Somit ist es prinzipiell auch möglich, die Antwort des Servers zu fälschen.
Update:
Die Deutsche Post hat heise Security informiert, dass das Problem der erratbaren IDs bereits mit dem letzten Software-Update am 27.7. beseitigt wurde.
Siehe dazu auch:
- Stampit Web - Denial of Service von Alexander Klink
(ju)
