Wiener „schockiert“

Sicherheitslücke rund um „namenlose“ Cookies

Eine Art Hintertür in den Internet-Sicherheitsabläufen, die es potenziellen Betrügern erlaubt, sich in die Kommunikation zwischen einer mit Hilfssoftwares erstellten Website und einem Nutzer einzuklinken, haben Forscher der Technischen Universität Wien entdeckt. An der Behebung der Lücke rund um „namenlose“ Cookies wird gearbeitet.

Mit der Weiterentwicklung des Internets in Richtung Austauschplattform von Apps und Codes und der Etablierung von immer neuen Systemen, die nicht stets auf die gewünschte Weise miteinander interagieren, tun sich auch unerwartete Problemfelder auf, heißt es seitens der TU Wien. Eine einheitliche Art Standardisierungsbehörde für das gesamte World Wide Web gibt es überdies nicht wirklich. So entwickelt sich das Netz immer ein Stück weit frei vor sich hin.

„Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standards allgemein übernommen werden. Und manchmal, wie in diesem Fall, liegen die Probleme auch in der Norm selbst“, so Marco Squarcina vom Institut für Logic und Computation der TU.

Er sah sich mit einem Forschungsteam das Zusammenspiel zwischen Webseiten, bei deren Entwicklung Programme zur Anwendung kamen, mit denen Homepages sozusagen auf Basis von vorgefertigten Lösungen schnell aufgesetzt werden können (Webframeworks), und Cookies an.

Letztere sind seit dem Ausrollen der aktuellen Datenschutzbestimmungen durch die mannigfaltigen Einstellungs-Nachfragen von Websites bei ihren Nutzern in den vergangenen Jahren deutlich bekannter geworden. Letztlich handelt es sich dabei um kleine Datenpakete, die zwischen einem Server, der eine Website beherbergt, und dem Webbrowser des Benutzers transferiert werden. Im Grunde werden hier individuelle Nutzerdaten ausgetauscht, die für den nächsten Besuch der Homepage gespeichert werden, um sie mehr oder weniger auf den Benutzer abzustimmen.

Großer Schock 
„Wir waren ziemlich schockiert, als wir herausfanden, welche Sicherheitslücken es hier derzeit gibt“, so Squarcina. Das betrifft vor allem Cookies, die mit keinem „Namen“ versehen sind, heißt es in der Aussendung. Derartige „namenlose“ Cookies sind technisch erlaubt.

Sind solche Varianten im Spiel, kann sich ein potenzieller Angreifer auf einer legitimen Website - zum Beispiel „bank.com“ - bei einem Besuch eine Sitzungskennung abholen, um mit dem Server zu kommunizieren, erklärte Squarcina. „Das Opfer wird zu einer kompromittierten Subdomain - sagen wir ‘hr.bank.com‘ - geleitet. Diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei ‘bank.com‘ anmeldet, kann sich der Angreifer ebenfalls anmelden, weil nun ja beide dieselbe Sitzungskennung verwenden."

Unerwünschte Trittbrettfahrer
So könnte also der Angreifer als unerkannter Trittbrettfahrer unerwünschte Aktionen über das Website-Konto des Opfers abwickeln, wie die Wissenschaftler in ihrer Arbeit in den „Proceedings of the 32nd USENIX Security Symposium“ darlegen.

Entdecken Forscher ein derartiges Problem, setzen sie sich „mit allen betroffenen Parteien in Verbindung und diskutieren mögliche Lösungen. Große Unternehmen wie Google haben eigene Sicherheitsteams, die das Problem verstehen und die Lücken schnell schließen können. Aber bei kleinen Open-Source-Projekten ist zusätzlicher Aufwand nötig, um das Problem im Detail zu erklären“, so Squarcina.