8. Juni 2010
Wieder mal kritische Lücke im VZ System gefunden
Mal wieder - hat man eine kritische Lücke im System von StudiVZ und Co gefunden.
Dadurch konnte man Account-Daten, Cookies und privaten Nachrichten auslesen sowie Schadcodes unterschieben.
Aber das ist ja nicht die erste Panne im System..
Mal schauen was man sonst noch so alles an Fehlern findet, ich bleibe dran ;) .
______________________________________________________________________
Im sozialen Netzwerk SchülerVZ gibt es eine Sicherheitslücke, die das Auslesen von Account-Daten, Cookies und privaten Nachrichten sowie das Unterschieben von Schadcode ermöglicht. Die Lücke kam durch die kürzlich erfolgte Einführung klickbarer Links zustande.
Bei Video-Links wird mit dem neuen System sogar direkt eine Vorschau generiert. In dem dazu verwendeten System existiert offenbar eine Sicherheitslücke, die es ermöglicht, zu verhindern, dass die im Link enthaltenen Zeichen ordnungsgemäß interpretiert werden (nämlich eine Escape-Sequenz durchlaufen). Das ermöglicht einem Angreifer mit entsprechenden Kenntnissen das Einschleusen von aktivem HTML- oder JavaScript-Code.
Über diesen Code kann beispielsweise die Weiterleitung auf eine mit Schadcode verseuchte Website erfolgen. Auch könnten sensible Daten wie Session-Cookies, die geheime E-Mail-Adresse des Accounts oder sogar private Nachrichten ausgelesen und an den Angreifer weitergeleitet werden. Für die erfolgreiche Weiterleitung sowie das Auslesen der Cookies liegt gulli:News ein Proof of Concept vor. Der Schüler und Hacker Armin R. entdeckte die Lücke und setzte sich daraufhin mit gulli:News in Verbindung. Seiner eigenen Aussage nach will der 16-Jährige verhindern, dass die Probleme totgeschwiegen werden, und bei den Benutzern ein Bewusstsein für die Problematik des Netzwerks wecken.
Der Angriff bietet ein erhebliches destruktives Potential. Wird die Weiterleitung entsprechend implementiert, kann sie versteckt erfolgen, so dass der betroffene Benutzer nichts davon mitbekommt. Denkbar wäre sogar, ein Script zu schreiben, über das sich der bösartige Link selbst weiterverbreitet. So ließen sich mit überschaubarem Aufwand in kurzer Zeit erhebliche Mengen an Daten gewinnen. Auch für die Malware-Verbreitung wäre diese Vorgehensweise vielversprechend, da zahlreiche Benutzer "automatisiert" auf Websites mit entsprechendem Schadcode weitergeleitet werden könnten. Der Angreifer selbst hat bei diesem Angriff kaum Traffic- und Rechenaufwand. Das unterscheidet diese Form der Datensammlung vom bereits mehrfach bei VZ-Netzwerken praktizierten Einsatz eines Crawlers. Auch ist der hier vorliegende Angriff, wie bereits beschrieben, weit vielseitiger einsetzbar.
Da der Exploit auf der Video-Vorschau-Funktion basiert, funktioniert er nur, wenn der für die zuständige Dienst oohembed erreichbar ist. Ist dieser - wie es momentan häufiger der Fall zu sein scheint - durch Überlastung nicht erreichbar, kann entsprechend auch der Angriff nicht erfolgreich durchgeführt werden.
Die VZ-Netzwerke fielen in der Vergangenheit bereits mehrfach durch Sicherheitslücken auf. Am prominentesten war der Fall des auch im gulli:Board aktiven Matthias L. ("exit", "Matthew"), der mit Hilfe eines Crawlers erfolgreich auch als privat gekennzeichnete Daten auslesen konnte (gulli:News berichtete). SchülerVZ warf dem 20-Jährigen vor, er habe mit dem Wissen um die Sicherheitslücke und der Drohung, die gefundenen Daten zu veröffentlichen, SchülerVZ erpressen wollen, was der Hacker stets bestritt. Matthias L. kam in Untersuchungshaft, wo er kurze Zeit später tot aufgefunden wurde. Allem Anschein nach hatte er sich selbst das Leben genommen (gulli:News berichtete). Der Anwalt von Matthias L. zeigte die Betreiber von SchülerVZ wegen des Verdachts einer falschen uneidlichen Aussage und falscher Verdächtigungen an (gulli:News berichtete). Das Verfahren wurde aber kürzlich eingestellt (gulli:News berichtete). Auch vor einem Monat tauchten wieder berichte über den erfolgreichen Einsatz eines Crawlers bei SchülerVZ auf (gulli:News berichtete).
Es ist nicht unwahrscheinlich, dass andere VZ-Netzwerke (StudiVZ, meinVZ) ebenso wie SchülerVZ für den neuen Angriff anfällig sind.
Update 1:
Der Entdecker der Sicherheitslücke bestätigte gegenüber gulli:News mittlerweile, dass der Angriff in jedem Fall auch bei StudiVZ und meinVZ funktioniert.
Update 2:
SchülerVZ reagierte mittlerweile auf die Sicherheitslücke, indem das angreifbare Thumbnail-Feature deaktiviert wurde. Momentan besteht also kein diesbezügliches Sicherheitsrisiko für die Nutzer der VZ-Netzwerke.
Quelle: Gulli.com
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen