Identitätsklau mit OpenID
Durch eine fehlerhafte Implementierung von OpenID können Angreifer gegenüber teilnehmenden Webseiten fremde Identitäten annehmen, warnt die OpenID-Foundation. Unter anderem sind Anwendungen betroffen, die OpenID4Java oder das Kay-Framework nutzen.
- Ronald Eikenberg
Fehlerhafte Implementierungen der OpenID-Erweiterung Attribute Exchange (AX) ermöglichen es Angreifern, gegenüber Webseiten eine fremde Identität anzunehmen, warnt die OpenID-Foundation. Sicherheitsforscher hatten entdeckt, dass einige an OpenID teilnehmende Webseiten nicht überprüften, ob die übermittelten Daten signiert sind. Durch die fehlende Überprüfung kann ein Angreifer die Daten beliebig manipulieren. Ein konkretes Angriffsszenario nannte die Foundation nicht.
Welche Webseiten von dem Problem betroffen waren, ließ die Foundation offen. Die Betreiber verwundbarer Seiten wurden vorab über die Schwachstelle informiert und haben die Lücke den Angaben zufolge geschlossen. Laut der Foundation tritt das Problem vor allem bei Anwendungen auf, die die Java-Bibliothek OpenID4Java nutzen.
Die Schwachstelle wurde mit der Finalversion 0.9.6 der Bibliothek geschlossen. Auch das Kay-Framework für Googles App Engine ist bis zur inzwischen überholten Version 1.0.1 verwundbar – aktuell ist Version 1.1.1. Die Foundation schließt nicht aus, dass weitere Libraries verwundbar sind. Janrain, Ping Identity und DotNetOpenAuth seien vermutlich nicht betroffen.
OpenID ist der Versuch, ein quelloffenes Single-Sign-On-System im Netz zu etablieren. Nutzer, die bei einem OpenID-Provider wie Google, Yahoo, WordPress oder MySpace registriert sind, können ihre Zugangsdaten zum Login bei allen teilnehmenden Internetdiensten nutzen. (rei)
