Sicherheitslücke beeinträchtigt OAuth-Provider

Eine Sicherheitsverletzung, die durch das offene OAuth-Online-Authentifizierungsprotokoll hervorgerufen wird, hat größere OAuth-Anbieter wie Twitter und Yahoo dazu bewogen, kurzfristig ihre Unterstützung für das Protokoll zurückzuziehen und den Service nicht anzubieten. Die Sicherheitslücke ermöglicht es Angreifern, Täuschungsmanöver einzusetzen, um an Nutzerdaten zu gelangen. Das OAuth-Protokoll benötigt eine Überarbeitung, um die Verletzung zu beheben.

Einem Eintrag auf OAuth.net zufolge ist man sich in der OAuth-Community des Fehlers seit einer Woche bewusst, es sind bislang aber keine Exploits bekannt. Eine detaillierte Beschreibung des möglichen Angriffsszenarios und eine Empfehlung zur Vermeidung des Angriffs finden Interessierte bei den Advisories.

Mittlerweile hat auch Alex Payne, API Lead bei Twitter, die Verletzung bestätigt, vermerkt aber auch angesichts der Kritik im Twitter-Anwenderumfeld, dass es Vereinbarungen unter den großen OAuth-Providern darüber gebe, die Art der Verletzung nicht preiszugeben, bevor nicht alle zugestimmt hätten – und das ungeachtet der Tatsache, dass es Gerüchte zur Verletzung gebe. Für die Twitter OAuth API vermerkt Payne zudem, dass sie Beta-Status habe und dass das im Fall von Twitter Teststatus bedeute.

OAuth ist ein offener Standard für die Online-Authentifizierung. Zugrunde gelegt wird ein Protokoll, das den Zugriff auf private, beim Service-Provider liegende Ressourcen von Nutzern sicherer machen soll. Bei OAuth nimmt der Service-Provider des Nutzers Anfragen auf den Datenzugriff entgegen und reagiert mit einer Abfrage für die Freigabe beim Nutzer. Sobald der Nutzer die Freigabe der Datenauswahl erlaubt hat, sendet der Provider ein Token an das anfragende Unternehmen. Erst mit diesem Token kann der anfragende Dienstleister auf die freigegebenen Daten zugreifen. (ane)