Covert Redirect - das neue Heartbleed?
Eine Schwachstelle wie "Covert Redirect" sollte die User wachrütteln, kritischer und bedachter im Umgang mit Apps zu sein
Bei "Covert Redirect" handelt sich um einen Fehler bei der Implementierung von "OAuth"
Sie haben bereits von Covert Redirect gehört, das gerade als neues "Heartbleed" gehandelt wird? Symantec erklärt im aktuell veröffentlichten "Symantec Response Blog", warum das nicht der Fall ist und räumt mit Missverständnissen zu Covert Redirect auf. Bei Covert Redirect handelt sich dabei um einen bekannten Fehler in der Implementierung von OAuth und OpenID, genannt "Covert Redirect". OAuth ist ein offenes Protokoll, das eine Authentifizierung über Identitäten von Seiten wie Google, Facebook, Microsoft oder LinkedIn bei anderen Diensten ermöglicht. Der Fehler könnte dazu führen, dass vertrauliche Informationen weitergeleitet werden bzw. könnten Nutzer zum Beispiel auf bösartige Websites umgeleitet werden.
Worin besteht das Risiko für den Nutzer?
Der Anwender muss aktiv tätig werden: Er muss eine Applikation zulassen bzw. Benutzerdaten eingeben. Ein Angreifer kann dann die Benutzerdaten abgreifen und für bösartige Zwecke verwenden.
Ist Covert Redirect das neue Heartbleed?
Definitiv nicht, es handelt sich dabei um einen Fehler bei der Implementierung von "OAuth". OAuth ist ein offenes Protokoll, das eine sichere Autorisierung von Web-, Mobile-und Desktop-Anwendungen ermöglichen soll. OAuth enthält einen Genehmigungsmechanismus, der Anwendungen von Drittanbietern erlaubt Zugriff auf Benutzerkonten zu erhalten.
Warum ist Covert Redirect nicht so kritisch wie Heartbleed?
Heartbleed ist eine Sicherheitslücke in OpenSSL, eine Open-Source-Implementierung von SSL, die von über einer halben Million Websites verwendet wird. Die Datenübertragung kann bereits bei der Nutzung eines ungepatchen Servers erfolgen.
Covert Redirect ist zwar kein Fehler, der einfach vernachlässigt werden sollte – aber es ist die Interaktion des Users notwendig. Eine Schwachstelle wie "Covert Redirect" sollte User deshalb noch einmal wachrütteln, kritischer und bedachter im Umgang mit Apps zu sein.
Wie kann man sich schützen?
Anwender sollten vorsichtig dabei sein, welchen Apps sie Zugriff auf persönliche Daten gewähren. Ob es Patches für die Schwachstelle geben wird, liegt in der Hand der Service Provider. (Symantec: ra)
Symantec: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden