GMX fixt Sicherheitsmanko des Web-Mail-Dienstes

Beim E-Mail-Dienst GMX klaffte bis zum vergangenen Donnerstag eine große Sicherheitslücke. Wie lange schon, ist nicht mehr in Erfahrung zu bringen. Durch Zufall entdeckte ein heise-online-Leser, dass GMX Sitzungen am Webfrontend offenbar lediglich über eine Session-ID, die in der URL im Klartext übergeben wird, auf Gültigkeit überprüft.

Dem Leser war aufgefallen, dass es möglich war, URLs von offenen GMX-Sessions an andere Rechner zu schicken und dort am geöffneten Web-Postfach weiterzuarbeiten. Dies funktionierte sowohl bei Rechnern mit unterschiedlichen IP-Adressen als mit auch verschiedenen Browser-Typen. heise online konnte diese Rechner-übergreifende Session-Übernahme in verschiedenen Konstellationen nachvollziehen. Erst, wenn von jenem Browser aus, an dem das GMX-Login stattfand, die Sitzung geschlossen wurde, konnten auch die anderen nicht mehr auf das Web-Postfach zugreifen.

Eine Sitzung am Webportal lediglich mit der Klartext-Übergabe der ID in der URL aufrecht zu erhalten, gilt unter Sicherheitsexperten seit langem als grober Fauxpas, der Angreifern unnötig Tore öffnet. Denkbar wäre etwa, dass ein Trojaner auf dem Rechner, der die Sitzung eröffnet, URLs abgreift und sofort versendet. Insbesondere bei nicht via SSL verschlüsselten Sitzungen könnte sich jeder Zugang zum Postfach verschaffen, der die Übertragung belauschen kann, also beispielsweise ein Kollege im (W)LAN oder Betreiber eines Proxies.

Von heise online auf die Problematik angesprochen, wiegelte GMX ab. Man habe den Sachverhalt nachvollziehen können, er stelle allerdings "einen sehr speziellen Sonderfall" dar, erklärte Unternehmenssprecherin Nadja Elias: "Der Nutzer muss die URL während der geöffneten Session versenden und diese darf noch nicht vom Nutzer selbst oder vom System beendet worden sein."

Auf Nachfrage erklärte GMX, dass eine Session bei Inaktivität des Kunden zwischen 30 Minuten und drei Stunden aufrecht erhalten wird, falls dieser sie nicht aktiv beendet. Diese Zeit stand Angreifern folglich zur Verfügung, falls sich der Nutzer nicht sofort nach der eventuell unbemerkten Kaperung seines Accounts ausloggt.

Ohnehin sei die Konstellation GMX zufolge speziell, weil "Sender und Empfänger diesselbe Browser- und Betriebssystem-Version verwenden" müssten. Reproduzierbare Tests von heise online, nach denen die URL-Übergabe beispielsweise auch von Firefox zum Internet Explorer klappte, habe man nicht nachvollziehen können. Man nehme den Hinweis dennoch ernst und überprüfe, ob ein Bugfix nötig sei, teilte GMX am vergangenen Mittwoch mit.

Zwei Tage später erhielt heise online von GMX die Mitteilung, dass der Fehler nicht nachvollzogen werden konnte und daher keine Korrektur notwendig sei: "Wo kein Bug, da kein Fix", hieß es lapidar. Bereits kurz zuvor klappte allerdings unserer Beobachtung zufolge die Übergabe von offenen Sessions via URL zwischen Browsern nicht mehr.

Parallel dazu erhielten wir Meldungen von Nutzern des Anonymisierungsdiensts TOR, wonach seit jenem Zeitpunkt ein Arbeiten mit dem GMX-Webfrontend plötzlich nicht mehr möglich ist, wenn die TOR-Route wechsle und damit eine neue IP-Adresse an den Client vergeben worden ist. Offenbar hat GMX mit IP-Adressüberprüfung reagiert, die verhindert, dass Rechner mit unterschiedlichen Adressen auf dieselbe Session zugreifen können. (hob)