Die Zwei-Faktor-Authentifizierung gilt als eine zuverlässige Methode um die Sicherheit von Online-Konten zu erhöhen. Allerdings zeigte sich kürzlich, dass der Dienst Authy der von zahlreichen bekannten Websites genutzt wird, eine schwerwiegende Sicherheitslücke hatte. Angreifer konnten sich über den Generalschlüssel "../sms" unbefugten Zugriff verschaffen.
Die Zwei-Faktor-Authentifizierung funktioniert normalerweise so, dass neben dem Passwort eine weitere Bestätigungsmethode verwendet wird beispielsweise ein Einmalpasswort das per SMS an das Mobiltelefon des Nutzers gesendet wird. Dieses Einmalpasswort muss dann zusätzlich zum Passwort eingegeben werden um Zugriff auf das Konto zu erhalten.
Der Dienst Authy sollte diese zweite Bestätigungsschicht ermöglichen und wurde von vielen bekannten Websites wie beispielsweise Coinbase, Twitch & Dropbox eingesetzt. Allerdings fand ein Sicherheitsforscher heraus, dass der Generalschlüssel "../sms" verwendet werden konnte um die SMS-Verifizierung zu umgehen und sich ohne die zusätzliche Bestätigungsmethode Zugang zu verschaffen.
Die Sicherheitslücke war dabei relativ einfach auszunutzen: Ein Angreifer musste lediglich zwei Faktoren des Angriffs kombinieren - zum einen die Kenntnis des Authy-API-Schlüssels, zum anderen die Verwendung des Generalschlüssels "../sms". Durch die Eingabe dieser Kombination war es möglich sich ohne das Einmalpasswort Zugriff zu verschaffen.
Dies stellt eine erhebliche Bedrohung für die Sicherheit der betroffenen Websites und ihrer Nutzer dar. Denn die Zwei-Faktor-Authentifizierung galt bislang als zuverlässige Methode um den Zugriff auf Online-Konten zu erschweren. Durch die Sicherheitslücke bei Authy wird deutlich, dass ebenfalls vermeintlich sichere Systeme anfällig für Schwachstellen sein können.
Glücklicherweise wurde die Sicherheitslücke inzwischen behoben & Authy hat Maßnahmen ergriffen um eine erneute Ausnutzung zu verhindern. Dennoch bleibt dieser Vorfall ein Weckruf für alle die auf die Sicherheit ihrer Online-Konten setzen. Es zeigt sich; dass selbst etablierte Dienste nicht unfehlbar sind und es immer wieder zu Sicherheitsproblemen kommen kann. Daher ist es wichtig, regelmäßige Updates durchzuführen und sich über mögliche Schwachstellen der genutzten Dienste zu informieren und gegebenenfalls alternative Sicherheitsmaßnahmen in Betracht zu ziehen.
Statt des per SMS zugestellten Einmalpassworts gab sich der Dienst auch mit der Zeichenfolge ../sms zufrieden, ebenso wie der Sicherheitsforscher Egor Homakov herausgefunden hat.
Authy bietet Betreibern von Webdiensten die Möglichkeit, den Login-Prozess mit einem zweiten Faktor abzusichern. Der Nutzer muss dann beim Login neben seinem Passwort auch noch einen einmalig gültigen Verifikationscode eingeben, den er per SMS bekommt. Authy wird unter anderem von Cloudflare der Spiele-Streaming-Seite twitch und auch bei Bitcoin-Börsen eingesetzt.
Homakov hat bemerkt, dass man bei Authy statt des Verifikationscodes auch einfach die Zeichenfolge ../sms eingeben konnte um die Zweifaktor-Überprüfung zu absolvieren. Schuld an diesem Effekt ist ein Fehler beim Escaping der von Nutzern eingegebenen Zeichenfolge. Den Fehler leistete sich ausgerechnet das Ruby-Gem rack-protection, das Betreibern von Ruby-Anwendungen verspricht, gängige Web-Angriffe abzuwehren.
Weitere Sicherheitslücken entdeckte Homakov in den Modulen Authy-node & Authy-python welche Webseitenbetreiber nutzen können um mit der API des Zweifaktor-Dienstes zu sprechen. Auch durch diese Lücken konnte man die Zweifaktor-Authentifizierung ohne gültiges Einmalpasswort absolvieren.
Der Forscher hat die Lücken am 8. Februar gemeldet, kurz darauf wurden rack-protection, Authy-node und Authy-python abgesichert. Durch die neue Version von rack-protection ist Authy selbst nicht weiterhin anfällig. Wer die Module Authy-node oder Authy-python zur Kommunikation mit dem Dienst nutzt sollte sicherstellen dass sie auf dem aktuellen Stand sind.
Kommentare