API-Signaturen bei Flickr, Vimeo & Co. fälschen
Durch einen überraschend simplen Angriff lassen sich unautorisierte API-Anfragen im Namen einer anderen, registrierten Applikation stellen.
- Christiane Rütten
In einem übersichtlichen und leicht verständlichen Paper beschreiben die Sicherheitsspezialisten Thai Duong und Juliano Rizzo eine eklatante Sicherheitslücke, die es bei vielen Web-Diensten ermöglicht, ohne Autorisierung API-Anfragen im Namen einer registrierten Client-Anwendung zu stellen. Die Schwachstelle befindet sich in dem Protokoll, mit dem Clients die URL-Parameter für die digitale Signatur mit dem geheimen Schlüssels des Clients vorbereiten; eine sogenannte Verlängerungsattacke auf den verwendeten Hash-Algorithmus (MD5 oder MAC) erledigt den Rest. Betroffen sind bekannte Dienste wie Flickr, Vimeo, Zooomr und Scribd. Doch ein Fix ist vorerst nicht in Sicht.
Flickr's API Signature Forgery Vulnerability (PDF) von Thai Duong und Juliano Rizzo (cr)