zurück zum Artikel

Identitätsklau mit OpenID

Ronald Eikenberg

Durch eine fehlerhafte Implementierung von OpenID können Angreifer gegenüber teilnehmenden Webseiten fremde Identitäten annehmen, warnt die OpenID-Foundation. Unter anderem sind Anwendungen betroffen, die OpenID4Java oder das Kay-Framework nutzen.

Fehlerhafte Implementierungen der OpenID-Erweiterung Attribute Exchange (AX) [1] ermöglichen es Angreifern, gegenüber Webseiten eine fremde Identität anzunehmen, warnt [2] die OpenID-Foundation. Sicherheitsforscher hatten entdeckt, dass einige an OpenID teilnehmende Webseiten nicht überprüften, ob die übermittelten Daten signiert sind. Durch die fehlende Überprüfung kann ein Angreifer die Daten beliebig manipulieren. Ein konkretes Angriffsszenario nannte die Foundation nicht.

Rollen, Begriffe und Beispiele im OpenID-Umfeld

Welche Webseiten von dem Problem betroffen waren, ließ die Foundation offen. Die Betreiber verwundbarer Seiten wurden vorab über die Schwachstelle informiert und haben die Lücke den Angaben zufolge geschlossen. Laut der Foundation tritt das Problem vor allem bei Anwendungen auf, die die Java-Bibliothek OpenID4Java [3] nutzen.

Die Schwachstelle wurde mit der Finalversion 0.9.6 der Bibliothek geschlossen. Auch das Kay-Framework für Googles App Engine ist bis zur inzwischen überholten Version 1.0.1 verwundbar – aktuell [4] ist Version 1.1.1. Die Foundation schließt nicht aus, dass weitere Libraries verwundbar sind. Janrain [5], Ping Identity [6] und DotNetOpenAuth [7] seien vermutlich nicht betroffen.

OpenID [8] ist der Versuch, ein quelloffenes Single-Sign-On-System im Netz zu etablieren. Nutzer, die bei einem OpenID-Provider [9] wie Google, Yahoo, WordPress oder MySpace registriert sind, können ihre Zugangsdaten zum Login bei allen teilnehmenden Internetdiensten nutzen. (rei [10])

URL dieses Artikels:
https://www.heise.de/-1239735

Links in diesem Artikel:
[1] http://openid.net/specs/openid-attribute-exchange-1_0.html
[2] http://openid.net/2011/05/05/attribute-exchange-security-alert/
[3] http://code.google.com/p/openid4java/
[4] http://code.google.com/p/kay-framework/downloads/list
[5] http://www.janrain.com/openid-enabled
[6] http://www.pingidentity.com/
[7] http://www.dotnetopenauth.net/
[8] http://openid.net/
[9] http://openid.net/get-an-openid/
[10] mailto:rei@heise.de

Copyright © 2011 Heise Medien