Google OAuth-Lücke: Gefahr für Millionen : Schwachstelle im „Sign in with Google“-Login gefährdet Nutzerdaten
Eine Schwachstelle im Google-OAuth-Login öffnet Cyberkriminellen die Tür: Über reaktivierte Domains können sie Millionen Nutzerkonten kapern.
Googles „Sign in with Google“-Login hat eine Schwachstelle: „Googles OAuth-Login schützt nicht davor, dass jemand die Domain eines gescheiterten Start-ups kauft und damit E-Mail-Konten ehemaliger Mitarbeiter reaktiviert“, so Dylan Ayrey, Mitbegründer und CEO von Truffle Security. „Dies ermöglicht es ihnen, sich bei verschiedenen Diensten wie ChatGPT, Slack, Notion, Zoom oder HR-Systemen anzumelden“. Kleiner Trost: Alte E-Mails können nicht eingesehen werden.
Aurey weiter: „Zu den sensibelsten Konten gehörten HR-Systeme, die Steuerdokumente, Gehaltsabrechnungen, Versicherungsdaten, Sozialversicherungsnummern und weitere Informationen enthielten. Auch Plattformen für Vorstellungsgespräche speicherten vertrauliche Daten wie Bewerber-Feedback, Angebote und Absagen.“
Problem im OAuth-Standard öffnet Tür für Angreifer
Der Kern des Problems liegt in der Funktionsweise von OAuth. OAuth, kurz für Open Authorization, ist ein offener Standard zur Zugriffsdelegation, der es Nutzern ermöglicht, Websites oder Anwendungen Zugriff auf ihre Daten auf anderen Plattformen zu gewähren, ohne ihr Passwort weitergeben zu müssen. Dies geschieht mithilfe eines Zugriffstokens, das die Identität des Nutzers verifiziert und dem Dienst Zugriff auf die freigegebene Ressource gewährt.
Wenn sich Nutzer mit „Sign in with Google“ beispielsweise bei einer Anwendung wie Slack anmelden, übermittelt Google dem Dienst bestimmte Informationen über den Nutzer, darunter die E-Mail-Adresse und die zugehörige Domain. Diese Angaben werden dann genutzt, um die Nutzer in ihren Konten anzumelden.
Das bedeutet jedoch auch, dass Dienste, die sich ausschließlich auf diese Informationen verlassen, ein Sicherheitsrisiko schaffen: Wenn die Domain den Besitzer wechselt, könnte ein Angreifer Zugriff auf alte Mitarbeiterkonten erhalten, indem er neue E-Mail-Adressen mit der übernommenen Domain erstellt.
Googles OAuth-System gibt jedem Nutzer zwar einen eindeutigen Identifikator (Sub-Claim), der theoretisch solche Probleme verhindern könnte. In der Praxis zeigt sich jedoch, dass dieser Mechanismus unzuverlässig ist. Truffle Security warnt, dass diese Lücke Millionen von Nutzern betreffen könnte, wenn weiterhin alte Domains von Startups ungesichert bleiben. Bei Microsofts Entra-ID-Systemen ist die Aufgabe übrigens weitaus besser gelöst: Unveränderliche Werte pro Nutzer verhindern hier Manipulationen.
Google erschöpft sich nach Abwiegel-Versuchen in Best-Praxis-Tipps
Google reagierte zunächst auf den Hinweis zur Sicherheitslücke mit der Aussage, dass das Verhalten beabsichtigt sei. Doch am 19. Dezember 2024 öffnete das Unternehmen den Fall erneut. Diesmal belohnte das Unternehmen den Forscher Dylan Ayrey mit einer Prämie von sagenhaften 1.337 Dollar. Inzwischen stuft Google das Problem als „Missbrauchsmöglichkeit mit hohem Risiko“ ein.
In einer Stellungnahme erklärte Google wie wichtig es sei, dass Unternehmen beim Schließen von Benutzerkonten alle zugehörigen Daten löschen, um späteren Missbrauch zu verhindern. Außerdem sollten Softwareanbieter, die Googles OAuth-Login nutzen, den Sub-Claim verwenden, um Konten sicher zu identifizieren und Manipulationen zu vermeiden.
Inzwischen bedankte sich Google nochmals bei Dylan Ayrey, nicht ohne die Verantwortung für den Missbrauch ausschließlich Nutzern zuzuschieben: „Wir schätzen die Hilfe von Dylan Ayrey, der uns dabei unterstützt hat, auf die Risiken hinzuweisen, die entstehen, wenn Kunden beim Einstellen ihrer Aktivitäten vergessen, Drittanbieter-SaaS-Dienste zu löschen. Als Best Practice empfehlen wir Kunden, Domains ordnungsgemäß abzuschalten, indem sie den Anweisungen folgen, um solche Probleme zu verhindern. Ferner ermutigen wir Drittanbieter-Apps, bestehende Sicherheitsstandards umzusetzen und eindeutige Nutzerkennungen (Sub) zu verwenden, um dieses Risiko zu minimieren.“
Dylan Ayrey warnte, dass das Problem vor allem ehemalige Mitarbeiter von Start-ups betrifft: „Wenn man ein Unternehmen verlässt, hat man keine Kontrolle mehr über die eigenen Daten in den verknüpften Konten. Man ist dem Schicksal der Domain ausgeliefert. Solange es keine unveränderlichen Identifikatoren für Nutzer und Arbeitsbereiche gibt, werden Domain-Wechsel weiterhin ein Sicherheitsrisiko darstellen.“