Prägende Websites mit schwerwiegenden Codierungsfehlern

Zwei Wissenschaftler der Princeton University haben auf mehreren prominenten Websites eine Art Codierungsfehler entdeckt, der persönliche Daten gefährden und in einem alarmierenden Fall ein Bankkonto entwerten kann.

Die Art des Fehlers, genannt Cross-Site Request Forgery (CSRF), ermöglicht es einem Angreifer, Aktionen auf einer Website im Auftrag eines Opfers durchzuführen, das bereits bei der Site angemeldet ist.

CSRF-Fehler wurden von Webentwicklern aufgrund mangelnder Kenntnisse weitgehend ignoriert, schrieben William Zeller und Edward Felten, der eine Forschungsarbeit über ihre Ergebnisse verfasst hat.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Fehler wurde auf den Websites der New York Times gefunden. ING Direct, eine US-amerikanische Sparkasse; Google YouTube; und MetaFilter, eine Blogging-Site.

Um einen CSRF-Fehler auszunutzen, muss ein Angreifer eine spezielle Webseite erstellen und ein Opfer auf die Seite locken. Die bösartige Website ist so codiert, dass eine siteübergreifende Anfrage über den Browser des Opfers an eine andere Website gesendet wird.

Leider erleichtert die Programmiersprache, die das Internet, HTML, unterstützt, zwei Arten von Anfragen, die beide sein können Englisch: www.saferinternet.org/ww/en/pub/ins…1007/dk1.htm

Diese Tatsache deutet darauf hin, dass Webentwickler die Programmierumgebung für die Entwicklung von Webdiensten erweitern, aber manchmal mit unbeabsichtigten Konsequenzen.

"Die Ursache von CSRF und ähnlichen Schwachstellen liegt vermutlich in der Komplexität der heutigen Web-Protokolle und die allmähliche Entwicklung des Internets von einer Datenpräsentationseinrichtung zu einer Plattform für interaktive Dienste ", so die Veröffentlichung.

Einige Websites setzen eine Sitzungskennung, eine in einem Cookie gespeicherte Information, oder eine Datendatei im Browser, wenn sich eine Person auf der Site anmeldet. Der Sitzungsbezeichner wird beispielsweise während eines Online-Kaufs überprüft, um zu verifizieren, dass der Browser die Transaktion ausgeführt hat.

Während eines CSRF-Angriffs wird die Anfrage des Hackers über den Browser des Opfers weitergeleitet. Die Website überprüft die Sitzungs-ID, aber die Site kann nicht überprüfen, ob die Anfrage von der richtigen Person stammt.

Das CSRF-Problem auf der Website der New York Times ermöglicht laut Anga- ben eines Angreifers den Zugriff die E-Mail-Adresse des Benutzers, der auf der Site angemeldet ist. Diese Adresse könnte dann potenziell Spam sein.

Die Website der Zeitung verfügt über ein Tool, mit dem angemeldete Benutzer eine Geschichte per E-Mail an eine andere Person senden können. Bei Besuch des Opfers sendet die Website des Hackers automatisch einen Befehl über den Browser des Opfers, um eine E-Mail von der Website des Papiers zu senden. Wenn die Ziel-E-Mail-Adresse mit der des Hackers identisch ist, wird die E-Mail-Adresse des Opfers angezeigt.

Ab dem 24. September wurde der Fehler nicht behoben, obwohl die Autoren im September die Zeitung anriefen 2007.

INGs Problem hatte alarmierende Konsequenzen. Zeller und Felten schrieben den CSRF-Fehler, der es erlaubte, ein zusätzliches Konto für ein Opfer zu erstellen. Außerdem könnte ein Angreifer das Geld eines Opfers auf sein eigenes Konto transferieren. ING hat das Problem inzwischen behoben, schrieben sie.

Auf der MetaFile-Website konnte ein Hacker das Passwort einer Person erhalten. Auf YouTube kann ein Angriff Videos zu den "Favoriten" eines Nutzers hinzufügen und neben anderen Aktionen beliebige Nachrichten für den Nutzer senden. Auf beiden Seiten wurden die CSRF-Probleme behoben.

Zum Glück sind CSRF-Fehler leicht zu finden und leicht zu beheben, worauf die Autoren in ihrer Arbeit technische Details angeben. Sie haben auch ein Firefox-Add-on erstellt, das gegen bestimmte Arten von CSRF-Angriffen schützt.