Ausspioniert trotz Verschlüsselung
Wichtige Aktivitäten wie Online-Banking aber auch das Lesen von Mail bei Diensten wie Google Mail sollte man durch Verschlüsselung absichern, um Missbrauch zu verhindern. Trotzdem kann es passieren, dass sich Angreifer unter bestimmten Umständen Zugang zum Bank- oder Mail-Account verschaffen.
Möglich wird das durch eine spezielle Art des Cookie-Klaus. Die ist zwar prinzipiell bereits vor einem Jahr diskutiert worden, aber erst jetzt wird die ihr gebührende Aufmerksamkeit zuteil – nicht zuletzt, weil ein Tool öffentlich verfügbar ist, das den Angriff tatsächlich umsetzt.
Hintergrund des Problems ist die Tatsache, dass bei vielen Diensten das Sitzungsmanagement und teilweise auch die Authentifizierung über Cookies abgewickelt werden. Das ist noch nicht weiter tragisch, wenn diese ausschließlich über verschlüsselte https-Verbindungen ausgetauscht werden. Doch genau das ist nicht sichergestellt. Denn viele Sites setzen für die wichtigen Sitzungskekse das Sicherheits-Flag nicht, das verhindert, dass der Browser das Cookie auch für ungesicherte Verbindungen verwendet. Damit genügt es, dass der Anwender eine normale Seite des Mail-Providers abruft, dass der Browser das Cookie über eine ungesicherte Verbindung sendet, die belauscht werden kann.
Für den Zugang zu Mailbox genügt dieses Cookie. Es wird auch für unverschlüsselte Verbindungen genutzt.
Konkret läuft der Angriff zum Beispiel wie folgt ab: Das Opfer meldet sich über ein WLAN verschlüsselt etwa bei Google Mail an und liest dort seine Mail – ebenfalls verschlüsselt. Während er noch angemeldet ist, ruft er eine beliebige, ungesicherte Web-Seite auf. Ein Angreifer im gleichen WLAN schmuggelt in die Web-Seite einen Verweis auf ein Bild ein, das angeblich auf dem unverschlüsselten http://mail.google.com liegt. Der Browser versucht das Bild zu holen und sendet dabei das Google-Mail-Cookie an den Server – unverschlüsselt. Der Angreifer belauscht diese Übertragung und kann anschließend mit dem Cookie die Mailbox bei Google Mail öffnen.
Auf der Sicherheitskonferenz Defcon hat Mike Perry einen derartigen Angriff demonstriert und angekündigt, sein Tool in zwei Wochen zu veröffentlichen. Parallel dazu hat allerdings offenbar auch Sandro Gauci an dessen Umsetzung gearbeitet und päsentiert jetzt nicht nur ein Paper und ein Video, die die Details erklären und demonstrieren, sondern auch gleich noch ein passendes Python-Skript namens Surf Jack. Ironischerweise wird Letzteres ausgerechnet bei Google gehostet.
Der Angriff ist nicht nur in WLANs möglich, sondern auch via ARP-Spoofing beispielsweise in Firmennetzen oder über das Vergiften von DNS-Caches prinizpiell in beliebigen Netzen. Konkret bedroht sind Nutzer von Diensten, bei denen die Zugangssicherung auf Cookies beruht und der Server das Secure-Flag nicht setzt. Dazu gehören laut Perry neben Google Mail unter anderem Facebook und Amazon. Gauci will sogar zwei Banken gefunden informiert haben, die dieses Problem aufweisen.
Dummerweise hat der Anwender normalerweise keinen Einfluss auf die Sicherheitseinstellungen seiner Cookies. Google hat allerdings kürzlich eine Option eingeführt, den Zugang zu Google Mail grundsätzlich verschlüsselt abzuwickeln. Wie sich jetzt herausstellt, bewirkt diese Option auch, dass der Server das Secure-Flag setzt und somit das Google-Mail-Sitzungs-Cookie nur noch über verschlüsselte Verbindungen genutzt wird. Leider hat es der Suchmaschinenbetreiber versäumt, diese Maßnahme zu dokumentieren, sodass sich viele Anwender sicher wähnen, weil sie ohnehin immer schon ausschließlich über verschlüsselte Verbindungen auf die Mailbox zugreifen. Sie sollten die Option in den Einstellungen ihres Google-Mail-Kontos jetzt schleunigst setzen.