IT Security & Cloud Computing-Storage-Services
Gleiche Schwachstelle bei mehreren Cloud-Speicherdiensten
Services erlauben Registrierung mit fremden E-Mail-Adressen
(05.07.12) - Sicherheitsexperten des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben festgestellt, dass mehrere Cloud Computing-Storage-Services bei der Registrierung nicht die angegebene E-Mail-Adresse überprüfen. In Kombination mit Funktionen der Cloud-Speicherdienste wie z.B. File Sharing oder integrierten Benachrichtigungsfunktionen ergeben sich dadurch verschiedene Angriffsmöglichkeiten. So können Angreifer unter falschem Namen etwa Malware in Umlauf bringen oder vertrauliche Daten ausspionieren.
Als einer der Träger des "Center for Advanced Security Research Darmstadt" (CASED) hat Fraunhofer SIT verschiedene Cloud-Speicherdienste untersucht. Dabei fanden die Tester die gleiche Schwachstelle in den kostenfreien Dienstangeboten verschiedener Anbieter. Eine Beschreibung der möglichen Angriffe und Bedrohungen stellten Mitarbeiter des Fraunhofer SIT am 26. Juni 2012 in Liverpool auf der 11. International Conference on Trust, Security and Privacy in Computing and Communications (IEEE TrustCom) vor.
Um die Schwachstelle auszunutzen, brauchen Angreifer keinerlei Programmierkenntnisse. Es genügt, ein Konto zu erstellen und dabei eine fremde E-Mail-Adresse zu verwenden. Anschließend kann der Angreifer unter falschem Namen Schadsoftware verteilen. Bei verschienen Diensten können Angreifer arglose Computernutzer mit Hilfe der fremden Identität sogar ausspionieren, indem sie sie dazu bringen, vertrauliche Daten für einen gemeinsamen Zugriff in die Cloud zu laden.
Fraunhofer SIT hat die betroffenen Anbieter bereits vor mehreren Monaten informiert. Obwohl die Schwachstelle mit sehr einfachen und bekannten Methoden wie etwa der Versendung einer E-Mail mit Aktivierungslink geschlossen werden kann, gibt es laut Fraunhofer SIT immer noch Anbieter, die keinen Handlungsbedarf sehen.
Einige dieser Anbieter verwenden zur Vermeidung der Schwachstelle nun die seit langem bekannte Bestätigungsemail, andere setzen Mechanismen ein. "Aus unserer Sicht ist es wichtig, die Verbraucher auf das bestehende Problem hinzuweisen", sagte Dr. Markus Schneider, stellvertretender Institutsleiter des Fraunhofer SIT: "Schneider. "Leider kann man sich nicht vollständig gegen alle Angriffe schützen, selbst wenn man die betroffenen Dienste meidet. Deshalb ist es wünschenswert, dass die Anbieter der Cloud-Speicherdienste die Schwachstelle beseitigen, da dadurch Verbraucher besser geschützt wären."
Verbraucher, die die betroffenen Dienste nutzen, sollten vorsichtig sein. Wer eine Aufforderung bekommt, Daten aus der Cloud herunter oder in die Cloud zu laden, sollte per E-Mail beim vermeintlichen Absender nachfragen, ob die Aufforderung wirklich von ihm stammt. (Fraunhofer SIT: ra)
Fraunhofer SIT: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Ihr PMK-Verlags-Newsletter hier >>>>>>