Symantec über den Unterschied von Covert Redirect und Heartbleed

Haben Sie schon von Covert Redirect gehört, das gerade als neues „Heartbleed“ gehandelt wird? Symantec erklärt im aktuell veröffentlichten Symantec Response Blog , warum das nicht der Fall ist und räumt mit Missverständnissen zu Covert Redirect auf:

Was genau ist Covert Redirect?

Es handelt sich dabei um einen bekannten Fehler in der Implementierung von OAuth und OpenID, genannt „Covert Redirect”. OAuth ist ein offenes Protokoll, das eine Authentifizierung über Identitäten von Seiten wie Google, Facebook, Microsoft oder LinkedIn bei anderen Diensten ermöglicht. Der Fehler könnte dazu führen, dass vertrauliche Informationen weitergeleitet werden bzw. könnten Nutzer zum Beispiel auf bösartige Websites umgeleitet werden.

Worin besteht das Risiko für den Nutzer?

Der Anwender muss aktiv tätig werden: Er muss eine Applikation zulassen bzw. Benutzerdaten eingeben. Ein Angreifer kann dann die Benutzerdaten abgreifen und für bösartige Zwecke verwenden.

Ist Covert Redirect das neue Heartbleed?

Definitiv nicht, es handelt sich dabei um einen Fehler bei der Implementierung von OAuth. OAuth ist ein offenes Protokoll, das eine sichere Autorisierung von Web-, Mobile-und Desktop-Anwendungen ermöglichen soll. OAuth enthält einen Genehmigungsmechanismus, der Anwendungen von Drittanbietern erlaubt Zugriff auf Benutzerkonten zu erhalten.

Warum ist Covert Redirect nicht so kritisch wie Heartbleed?

Heartbleed ist eine Sicherheitslücke in OpenSSL, eine Open-Source-Implementierung von SSL, die von über einer halben Million Websites verwendet wird. Die Datenübertragung kann bereits bei der Nutzung eines ungepatchen Servers erfolgen.

Covert Redirect ist zwar kein Fehler, der einfach vernachlässigt werden sollte – aber es ist die Interaktion des Users notwendig. Eine Schwachstelle wie „Covert Redirect“ sollte User deshalb noch einmal wachrütteln, kritischer und bedachter im Umgang mit Apps zu sein.

Wie kann man sich schützen?

Anwender sollten vorsichtig dabei sein, welchen Apps sie Zugriff auf persönliche Daten gewähren. Ob es Patches für die Schwachstelle geben wird, liegt in der Hand der Service Provider.