Gestopfte Passwort-Lücke
12.01.2009 | 11:35 Uhr 2009-01-12T11:35:00+0100Immer mehr Nutzer verwenden so genannte Passwort-Management-Programme. US-Forscher haben nun eine Sicherheitslücke in Password-Managern entdeckt.
Aus der Perspektive von IT-Sicherheitsexperten sind die besten Passwörter möglichst lang und werden für jede mögliche Anwendung einzeln vergeben. Außerdem sollten sie möglichst eine Mischung aus Buchstaben, Zahlen und Sonderzeichen enthalten. Wer sich an diese Regeln hält, ist normalerweise vor Passwortknackern geschützt – doch leider machen solche Kennwörter das Einloggen in verschiedenste Internet-Angebote zum Gedächtnistraining.
Aus diesem Grund verwenden immer mehr Nutzer so genannte Passwort-Management-Programme. Sie speichern alle Zugangskennwörter und sind wiederum durch ein einzelnes Kennwort geschützt, das sich leicht merken lässt. Das Problem: Nicht alle diese Werkzeuge sind auch sicher. Forscher am Center for Research on Computation and Society der Harvard University haben nun Sicherheitslücken in einem halben Dutzend dieser Programme gefunden, die sich allesamt auf ähnliche Art ausnutzen ließen.
Betroffen war davon eine zunehmend populäre Klasse solcher Werkzeuge, die mit so genannten Bookmarklets arbeiten. Das sind Browser-Lesezeichen, die JavaScript-Code enthalten, um komplexe Aufgaben zu erledigen – etwa das automatische Einloggen von Benutzern auf einer Website. Nach der Untersuchung von sechs dieser kommerziell erhältlichen Angebote ergab sich nun der schwerer Fehler: Ein Angreifer konnte sie so narren, dass sie alle Passwörter eines Benutzers herausrückten.
"Das ist ein Problem, das wirklich ernst genommen werden muss", sagt Ben Adida, Harvard-Research Fellow. Der Forscher untersuchte das Problem zusammen mit Adam Barth, einem Postdoc-Fellow in Computerwissenschaften an der University of California, Berkeley, und Colin Jackson, einem Doktoranden an der Stanford University.
Typischerweise speichert ein Bookmarklet-basierter Passwort-Manager die Kennwörter auf einem zentralen Server. Will ein Nutzer später ein Angebot besuchen, für das er ein Passwort abgelegt hat, klickt er einfach auf das Bookmarklet und wird eingeloggt. "Wenn der Nutzer klickt, zeigt er dem Rechner, dass dieser ein Passwort freigeben soll. Die Frage ist allerdings auch, welches das ist", sagt Jackson.
Der Code des Bookmarklets bestimmt dies normalerweise, in dem die aktuell im Browserfenster angewählte URL überprüft wird. Der Passwort-Manager nutzt diese Informationen dann, um zu entscheiden, welches Kennwort vom freigegeben werden sollte und loggt den Nutzer dann automatisch ein.
Adida, Barth und Jackson fanden nun aber heraus, dass dieser Prozess, der von allen sechs Programmen ähnlich gehandhabt wird, ein fundamentales Problem enthält: Die Ermittlung der aktuellen Seite läuft nicht vertrauenswürdig ab. Mit wenigen Zeilen Code konnten die Werkzeuge beispielsweise dazu bewegt werden, zu glauben, dass der Nutzer gerade auf der Website seiner Bank unterwegs ist, obwohl er auf einer Angreiferseite surft.
"Die Angriffsmöglichkeiten, die wir feststellten, funktionieren für jeden Passwort-Manager ein klein wenig anders", sagt Jackson. Doch alle sechs Programme ließen sich entsprechend manipulieren, fremde Passwörter herauszurücken.
Glücklicherweise fanden Adida und sein Team bereits eine Lösung für das Problem, die sich zudem leicht umsetzen lässt. Statt die URL des angezeigten Browser-Fensters zu überprüfen, sollte besser gecheckt werden, woher die Anfrage kommt. Dieser so genannte Referrer-Header lässt sich nicht einfach fälschen, so lange das Standard-Verschlüsselungsprotokoll SSL zum Einsatz kommt.
Von den sechs Bookmarklet-Anbietern, die die Forscher kontaktierten, entschieden sich fünf dafür, diese Methode umzusetzen: Verisign, MyVidoop, Clipperz, PassPack und MashedLife. Nur ein Anbieter entschied sich zunächst dafür, seine Kunden lieber zu warnen, anstatt das Problem gleich zu beheben.
"Der Fix war ganz einfach", sagt Scott Blomquist, Technologiechef von MyVidoop. "Das hat die Entwickler nur Minuten gekostet". Er hält die Angriffsfläche derzeit allerdings nur für "marginal", weil nur wenige Nutzer die Bookmarklet-Version seines Passwort-Managers nutzten. "Außerdem benötigt der Angreifer einiges an Kenntnissen und Zeit."
Trotzdem: Sollte ein entsprechender "Exploit" die Runde machen, würde das die betroffenen Benutzer potenziell viel Geld kosten. "Es ist unwahrscheinlich das das bereits passiert ist", meint Adida, "doch wenn es jemand getan haben sollte, würde das Opfer es wohl kaum bemerkt haben". Der Nutzer führte dann beispielsweise sehen, dass sein Konto leer geräumt ist, ohne zu wissen, wie da genau ablief. "Am Ende des Tages sind Maßnahmen zur IT-Security in vielen Fällen wie eine abgeschlossene Versicherung. Die meisten Nutzer sind leider nicht paranoid genug, sie auch zu nutzen"
Die Forscher glauben, dass sich in Zukunft noch bessere Lösungen für das Bookmarklet-Problem ergeben werden. Eine neue Browser-Funktion namens "postMessage" macht es möglich. Sie erlaubt es einem Web-Fenster, Informationen sicher mit einem Server auszutauschen und dabei stets die genaue Herkunft mitzuteilen. Sobald die Funktion in den meisten Browsern steckt, ließen sich Passwörter auch problemlos und sicher austauschen, glaubt Jackson.
0mitdiskutieren