Neue XSS-Bedrohung nutzt OAuth-Social-Logins aus und gefährdet Millionen von Websites

Salt Labs, der Forschungszweig des API-Sicherheitsunternehmens Salt Security, hat kürzlich eine erhebliche Cross-Site-Scripting- Sicherheitslücke (XSS) entdeckt, die Millionen von Websites weltweit betreffen könnte. Im Gegensatz zu einer Produktsicherheitslücke, die zentral gepatcht werden kann, ist dieses Problem auf die Implementierung von OAuth – einer weit verbreiteten App für soziale Anmeldungen – im Webcode zurückzuführen. Obwohl unter Entwicklern allgemein angenommen wird, dass XSS-Bedrohungen der Vergangenheit angehören, heben die Erkenntnisse von Salt Labs ein kritisches Versäumnis in der Websicherheit hervor.
Inhaltsverzeichnis
Die Selbstzufriedenheit der Vertrautheit
Die einfache Implementierung von OAuth für soziale Anmeldungen hat bei Entwicklern zu einer gewissen Selbstzufriedenheit geführt. Diese Vertrautheit kann jedoch zu erheblichen Fehlern führen. Das grundlegende Problem liegt in der Einführung neuer Technologien und Prozesse in ein bestehendes Ökosystem, die das etablierte Gleichgewicht stören können. Dies ist kein Fehler von OAuth selbst, sondern in der Art und Weise, wie es auf verschiedenen Websites implementiert wird. Salt Labs hat festgestellt, dass die Verwendung von OAuth ohne sorgfältige Sorgfalt und Genauigkeit einen neuen XSS-Weg schaffen kann, der aktuelle Abhilfemaßnahmen umgeht und möglicherweise zu einer vollständigen Kontoübernahme führt.
Fallstudien: HotJar und Business Insider
Die Forschung von Salt Labs konzentrierte sich auf die Implementierungen zweier bekannter Firmen: HotJar und Business Insider. Diese Unternehmen wurden aufgrund ihrer umfassenden Sicherheitsmaßnahmen und der großen Menge an personenbezogenen Daten (PII), die sie verarbeiten, ausgewählt. Wenn solche großen Firmen OAuth falsch implementieren können, ist die Wahrscheinlichkeit hoch, dass kleinere, weniger gut ausgestattete Websites ähnliche Fehler machen. Yaniv Balmas, Vizepräsident für Forschung bei Salt Security, gab bekannt, dass ähnliche OAuth-Probleme bei Websites wie Booking.com, Grammarly und OpenAI gefunden wurden, obwohl diese nicht im Bericht enthalten waren.
Insbesondere HotJar wurde aufgrund seiner umfassenden Marktsättigung und der enormen Menge an Benutzerdaten, die es sammelt, hervorgehoben. HotJar funktioniert ähnlich wie Google Analytics und zeichnet Benutzersitzungsdaten auf, darunter Screenshots, Tastaturklicks und Mausaktionen. Diese Daten können vertrauliche Informationen wie Namen, E-Mails, Adressen, private Nachrichten, Bankdaten und Anmeldeinformationen enthalten. Die entdeckte Sicherheitslücke ermöglicht es Angreifern, den OAuth-Social-Login-Prozess auszunutzen, indem sie Anmeldegeheimnisse fälschen und abfangen und sich so unbefugten Zugriff auf Benutzerkonten verschaffen.
Die Angriffsmethodik
Die Angriffsmethode besteht darin, XSS mit dem OAuth-Anmeldeablauf zu kombinieren. Ein manipulierter Link, der eine legitime HotJar-Social-Login-Anfrage imitiert, leitet den Angriff ein. Wenn ein Opfer auf diesen Link klickt, kann der Angreifer die Anmeldegeheimnisse abfangen, was zu einer vollständigen Kontoübernahme führt. Diese Sicherheitslücke unterstreicht die Bedeutung sicherer Implementierungspraktiken, die viele Websites entweder übersehen oder für deren Umsetzung ihnen das Fachwissen fehlt.
Proaktive Maßnahmen und Tools
Als Reaktion auf diese Erkenntnisse veröffentlichte Salt Labs seine Methoden und ein kostenloses Scanner-Tool, das Website-Betreibern dabei hilft, potenzielle Probleme bei der OAuth XSS-Implementierung zu identifizieren und zu beheben. Dieser proaktive Ansatz zielt darauf ab, Risiken zu minimieren, bevor sie zu erheblichen Sicherheitsverletzungen eskalieren. Obwohl Balmas darauf hinweist, dass ein 100-prozentiger Erfolg nicht garantiert werden kann, bietet das Tool ein wertvolles Frühwarnsystem für Unternehmen, um ihre Sicherheitslage zu stärken.
Die Entdeckung von Salt Labs ist eine deutliche Erinnerung daran, dass selbst weithin vertrauenswürdige Technologien wie OAuth eine sorgfältige und sichere Implementierung erfordern. Da sich die digitale Landschaft weiterentwickelt, müssen auch unsere Wachsamkeit und unser Engagement für robuste Cybersicherheitspraktiken zunehmen.