Wiener Forscher haben eine kritische Sicherheitslücke entdeckt: Eine Art Hintertür erlaubt es potenziellen Betrügern, sich in die Kommunikation zwischen einer mit Hilfssoftware erstellten Website und einem Nutzer einzuklinken. Das Team von der Technischen Universität (TU) Wien berichtete über seine neuen Erkenntnisse zu "namenlosen" Cookies auf wichtigen IT-Sicherheitskonferenzen in den USA und einer Fachpublikation. An der Behebung der Lücke wird gearbeitet.
Mit der Weiterentwicklung des Internets in Richtung Austauschplattform von Apps und Codes und der Etablierung von immer neuen Systemen, die nicht immer auf die gewünschte Weise miteinander interagieren, tun sich auch unerwartete Problemfelder auf, heißt es am Mittwoch seitens der TU Wien. Eine einheitliche Art Standardisierungsbehörde für das gesamte Worldwide Web gibt es überdies nicht wirklich.
"Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standards allgemein übernommen werden. Und manchmal, wie in diesem Fall, liegen die Probleme auch in der Norm selbst", so Marco Squarcina vom Institut für Logic und Computation der TU. Er sah sich mit einem Forschungsteam das Zusammenspiel zwischen Cookies und Webseiten an, bei deren Entwicklung Programme zur Anwendung kamen, mit denen Homepages sozusagen auf Basis von vorgefertigten Lösungen schnell aufgesetzt werden können (Webframeworks).
Letztere sind seit dem Ausrollen der aktuellen Datenschutzbestimmungen durch die mannigfaltigen Einstellungs-Nachfragen von Websites bei ihren Nutzern in den vergangenen Jahren deutlich bekannter geworden. Letztlich handelt es sich dabei um kleine Datenpakete, die zwischen einem Server, der eine Website beherbergt, und dem Webbrowser des Benutzers transferiert werden. Im Grunde werden hier individuelle Nutzerdaten ausgetauscht, die für den nächsten Besuch der Homepage gespeichert werden, um sie mehr oder weniger auf den Benutzer abzustimmen.
"Wir waren ziemlich schockiert, als wir herausfanden, welche Sicherheitslücken es hier derzeit gibt", so Squarcina. Das betrifft vor allem Cookies, die mit keinem "Namen" versehen sind, heißt es in der Aussendung. Derartige "namenlose" Cookies sind technisch erlaubt.
Sind solche Varianten im Spiel, kann sich ein potenzieller Angreifer auf einer legitimen Website - zum Beispiel "bank.com" - bei einem Besuch eine Sitzungskennung abholen, um mit dem Server zu kommunizieren, erklärte Squarcina. "Das Opfer wird zu einer kompromittierten Subdomain - sagen wir 'hr.bank.com' - geleitet. Diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei 'bank.com' anmeldet, kann sich der Angreifer ebenfalls anmelden, weil nun ja beide dieselbe Sitzungskennung verwenden." So könnte also der Angreifer als unerkannter Trittbrettfahrer unerwünschte Aktionen über das Website-Konto des Opfers abwickeln, wie die Wissenschafter in ihrer Arbeit in den "Proceedings of the 32nd USENIX Security Symposium" darlegen.
Entdecken Forscher ein derartiges Problem, setzen sie sich "mit allen betroffenen Parteien in Verbindung und diskutieren mögliche Lösungen. Große Unternehmen wie Google haben eigene Sicherheitsteams, die das Problem verstehen und die Lücken schnell schließen können. Aber bei kleinen Open-Source-Projekten ist zusätzlicher Aufwand nötig, um das Problem im Detail zu erklären", so Squarcina. (APA, 16.8.2023)