Die OAuth-Hintertür: Google wiegelt ab
Der Suchmaschinenriese Google sieht keine Sicherheitslücke in der durch Kriminelle ausgenutzten Schnittstelle, sie funktioniere wie vorgesehen.
(Bild: Sashkin/Shutterstock.com)
Google hat auf Medienberichte und eine Analyse von Sicherheitsforschern zu Token-Klau per Malware reagiert. Wie der Internetkonzern in einer Stellungnahme an heise Security mitteilt, seien "Angriffe mit Malware, die Cookies und Tokens stehlen, [..] nicht neu", man verbessere routinemäßig die Google-eigenen Abwehrmechanismen gegen derlei Techniken.
Mit dieser Einschätzung versucht Google offenbar, beunruhigte Nutzer in Sicherheit zu wiegen. Der Infostealer Lumma erneuert gestohlene Zugangs-Tokens durch undokumentierte API-Aufrufe und ermöglicht damit nicht nur einen langwährenden Zugriff auf das Google-Konto des Opfers. Das Verfahren erlaubt selbst nach einem Passwort-Reset noch Zugriff auf das Google-Konto, warnen die CloudSEK-Forscher. Dass zudem innerhalb weniger Wochen gleich mehrere Malware-Entwickler den Token-Trick implementierten, also durchaus Vorteile für ihre kriminellen Aktivitäten witterten, nährt Zweifel an Googles beruhigender Darstellung.
Malware aussperren per Geräteverwaltung
Der Suchmaschinenriese legt Wert auf die Feststellung, dass Nutzer, die eine Malware-Infektion befürchten, mit einem einfachen Mittel den Zugang zu ihrem Google-Konto abstellen können. So reicht es laut Google aus, den betroffenen Browser aus dem Konto abzumelden. Wer auf Nummer sicher gehen will, kann über die Geräteverwaltung im Google-Konto alle derzeit angemeldeten Geräte, Apps und Drittanwendungen überprüfen und deaktivieren.
Eigentlich signalisiert der Anwender durch eine Passwort-Änderung, dass er das aktuelle Passwort für nicht mehr ausreichend sicher hält und es somit möglicherweise unberechtigte Zugriffe darüber gegeben haben könnte. Da liegt es nahe, in diesem Zug auch gleich daraus abgeleitete Authentifizierungs-Token zu entwerten und eine neue Anmeldung mit dem neuen Passwort zu erzwingen. Sonst könnten Angreifer über diese Tokens auch nach dem Passwort-Reset Zugriff auf das Konto des Opfers erlangen. heise Security warnte bereits vor fast fünfzehn Jahren vor dieser tückischen Hintertür und mahnte entsprechende Gegenmaßnahmen an. Andere Dienste machen das mittlerweile automatisch; Google scheint da dem Stand der Technik hinterherzuhinken.
Mittlerweile implementieren mindestens sechs Malware-Varianten (Lumma, Rhadamanthys, Stealc, Medusa, RisePro und Whitesnake) diese Methode zum Token-Missbrauch. Sie nutzt eine undokumentierte OAuth-Funktion in Googles Account-API, um Login-Tokens zu verlängern oder – mithilfe eines von der Malware ferngesteuerten Chrome-Browsers – neu zu erstellen. Die so erschlichenen Tokens können Kriminelle dann zum Missbrauch des Google-Kontos verwenden.
(cku)
