Facebooks Single-Sign-on hat ein Problem und die Lage eskaliert

Ein Sicherheitsforscher hat schon vor einiger Zeit eine Schwachstelle im Single-Sign-on-System von Facebook entdeckt. Dieser ermöglicht es Angreifern, Accounts auf Webseiten Dritter zu kapern. Nachdem Facebook das Problem lange nicht beheben wollte, eskaliert die Angelegenheit nun. Egor Homakov von der Security-Firma Sakurity hatte bereits im Januar darüber informiert, dass es ein Problem gibt. Jetzt veröffentlichte er ein Tool namens Reconnect, mit dem die Sicherheitslücke nachvollzogen werden kann. Die Software generiert URLs, mit denen die Schwachstelle, die auf einer Cross-Site Request Forgery (CSRF) beruht, ausgenutzt werden kann.

Single-Sign-on gilt gemeinhin als bequemer Weg für den Zugriff auf eine Vielzahl von Accounts. Denn der Anwender muss nicht mehr bei jedem Angebot, das er im Web nutzen will, ein eigenes Konto mit Nutzernamen und Passwort erstellen, sondern loggt sich mit einer zentralen Zugangskennung ein. Facebook bietet sich hier als Anbieter eines solchen Verfahrens an, da ohnehin ein großer Teil der User bei dem Social Network angemeldet ist.

Reihenweise Accounts in Gefahr

Wenn es aber bei dem zentralen Anbieter ein Problem gibt, kann dies weitreichende Folgen haben, wie die aktuelle Angelegenheit nun zeigt. Angreifer brauchen einen Nutzer nur dazu bringen, auf eine manipulierte URL zu klicken. Dies sorgt dann dafür, dass alle Seiten, bei denen dieser sich mit Facebooks Single-Sign-on registriert hat, mit einem Facebook-Account verbunden werden, der unter der Kontrolle der Angreifer steht. Diese erhalten so im Zweifelsfall einen direkten Zugang zu persönlichen Informationen, privaten Nachrichten und anderen Daten, die bei verschiedensten Seiten hinterlegt sind.

Laut Homakov sträubt sich Facebook allerdings seit einem Jahr, das Problem anzugehen. Denn dies würde erst einmal gewaltige Folgen nach sich ziehen. Inzwischen bieten tausende Seiten ihren Nutzern einen Zugang per Facebook-Login an. Ein Update der Skripte auf Seiten des Social Networks würde hier für Kompatibilitätsprobleme sorgen. Erst einmal wären die Zugänge zu den Angeboten, die auf das Single-Sign-on setzen versperrt. Funktionieren würden sie erst wieder, wenn auch die jeweiligen Seitenbetreiber Anpassungen vorgenommen haben.

Dies dürfte im Fall des Falles vermutlich recht schnell geschehen. Doch ist anzunehmen, dass man bei Facebook schlicht befürchtete, dass die Zugangsprobleme, die dann viele Millionen Nutzer treffen würden, auf das Social Network zurückfallen. Homakov hofft nun, mit der Veröffentlichung seines Tools ausreichend Druck aufgebaut zu haben, dass die Schwachstelle endlich behoben wird. Facebook, Login Screen, facebook ipad Facebook