|
Wer sich auf bestimmten Webseiten über Facebook- oder Google-Accounts authentifiziert,
handelt gefährlich. Eine Browser-Extension der TU Wien behebt dieses Problem.
Baltimore/Wien (tu) - Man kennt das von vielen Internet-Seiten: Um bestimmte Funktionen nutzen zu können,
muss man sich anmelden, aber es ist mühsam, für jede einzelne Seite einen eigenen Account anzulegen.
Daher ist es praktisch, wenn man sich über seinen Facebook- oder Google-Account authentifizieren kann. Doch
das bedeutet, dass Daten von Facebook oder Google direkt an den Betreiber der jeweiligen Webseite weitergegeben
werden – und dadurch können Risiken entstehen.
An der TU Wien hat man diese Authentifikations-Prozesse genau untersucht. Entwickelt wurde nun ein Browser-Plugin,
das diese Sicherheitslücken schließt, und zwar auf absolut rigorose Weise: Nach den Gesetzen der Logik
lässt sich beweisen, dass es unmöglich ist, das Browser-Plugin zu überlisten. Eine erste Version
kann bereits probeweise installiert werden, derzeit laufen Gespräche mit Webbrowser-Herstellern, um das Plugin
in Zukunft in Browser einzubauen.
Login über Facebook oder Google
„Sich im Internet mit Hilfe von Social Media Accounts irgendwo einzuloggen, ist ganz alltäglich geworden“,
sagt Prof. Matteo Maffei vom Institut für Logic and Computation der TU Wien. „Man kann sich etwa über
den Facebook-Account bei Instagram anmelden, oder auf verschiedenen Online-Foren von Blogs oder Online-Magazinen.“
Dabei erhält die jeweilige Webseite, auf der man sich einloggen möchte, Daten direkt von Facebook oder
Google. Allerdings ist dabei nicht klar zu sehen, welche Programme auf dieser Webseite noch laufen und eventuell
gefährliche Aktionen setzen.
Möglich ist etwa, dass die Social-Media-Zugangsdaten, mit denen man sich authentifiziert, verbotenerweise
verwendet werden, um zusätzliche Information abzusaugen. „Das attackierende Programm kann dann auf persönliche
Daten zugreifen, Listen von Freunden abfragen oder sogar herausfinden, welche Seiten ich besucht habe. Im schlimmsten
Fall kann es sogar meinen Social-Media-Account übernehmen“, erklärt Matteo Maffei.
Sicherheit, die sich beweisen lässt
Mit seinem Team entwickelte Matteo Maffei nun eine Extension, die als Barriere zwischen bösartigen Scripts
und dem Browser auftritt. „Von Facebook kommt beim Authentifizieren ein Code zurück, mit dem man sich dann
auf der Webseite des Drittanbieters einloggt“, erklärt Maffei. „Unser Plugin ersetzt diesen Code mit einem
zufällig generierten Ersatzcode. Der echte Code wird nur für die Kommunikation mit Facebook verwendet,
während Scripts auf anderen Webseiten nur den Ersatzcode sehen. Die Browser-Extension ist der Datenübermittler
dazwischen. Dadurch wird es unmöglich, dass bösartige Scripts unerlaubterweise Daten mit Facebook austauschen.“
Doch nicht nur das – vom Plugin wird der gesamte Datentransfer in den Browser und aus dem Browser überwacht.
„Die Authentifizierungs-Protokolle sind genau definiert. Wir wissen also genau, welche Information in welcher Reihenfolge
zwischen Browser und Webseite ausgetauscht werden muss“, erklärt Matteo Maffei. „Wenn sich die Webseite nicht
daran hält, wenn etwa ein bestimmter Schritt in der Authentifizierungs-Sequenz angefragt wird, ohne dass die
vorhergehenden Schritte erledigt wurden, dann handelt es sich um eine regelwidrige Aktion, die gefährlich
sein kann.“
Auf diese Weise ist es gelungen, für logisch rigorose Sicherheit zu sorgen: Der Datenaustausch zwischen Browser
und Webseite wird so überwacht, dass es nach den Regeln der Logik nicht möglich ist, das Plugin zu überlisten
– das lässt sich mathematisch beweisen.
Auf Konferenz präsentiert
Für diese Idee wurde Matteo Maffei im Vorjahr mit einem ERC-Grant ausgezeichnet, das Plugin ist nun der erste
große Erfolg seines ERC-Projekts. „Bereits jetzt kann das Plugin für den Chrome-Browser heruntergeladen
und installiert werden. Wir sind aber noch dabei, es weiter zu verbessern. Und wir sind bereits im Gespräch
mit namhaften Browser-Herstellern, die unsere Idee direkt in die Browser einbauen wollen.“
Das Plugin garantiert nicht nur die Sicherheit besser als bisherige Schutzmechanismen, es ist außerdem auch
extrem sparsam gebaut. Das Laden von Webseiten wird durch das Plugin nicht merklich verlangsamt. Öffentlich
vorgestellt wurde das neue Plugin nun am 17. August in Baltimore auf dem 27 Usenix Security Symposium , der wichtigsten
System-Security-Konferenz der Welt.
Originalpublikation: https://www.usenix.org/conference/usenixsecurity18/presentation/calzavara
|
