Een groot aantal internetdiensten wist cookies niet automatisch bij het verlaten van de webpagina. Hackers kunnen door deze 'cookie-hergebruik' toegang krijgen tot accounts van nietsvermoedende gebruikers van de sites die dat toestaan.
Daarvoor waarschuwt Sam Bowne, ethisch hacker en professor computernetwerken en informatietechnologie aan het City College van San Francisco.
Bowne ontdekte het probleem vorig jaar al in Microsofts Hotmail en Outlook en maakte daarvan ook melding bij Microsoft. Dat besloot er niet onmiddellijk iets aan te doen, maar beloofde ernaar te kijken in een toekomstige versie. Onlangs besloot hij te kijken of het probleem in Office 365 was opgelost. Dat leek niet het geval.
Opgeslagen cookie geeft toegang tot account
De praktijk waar Bowne zich aan stoort is het opslaan van een persistente cookie bij het openen van de mailaccount in Office 365. Met die cookie kan men een sessie opnieuw opstarten zonder in te loggen, als men beschikt over het internetadres van een mailsessie. Het enige dat men dan hoeft te doen is die URL in de browser in te voeren en vervolgens de gekopieerde cookies te importeren. Dat kan ook op een andere machine dan waarop de sessie werd geopend en werkt zelfs als het wachtwoord wordt gewijzigd voordat die cookie wordt hergebruikt.
Bowne voerde de test zelf uit door de cookies te exporteren en weer binnen te halen met de Edit This Cookie-extensie van Google Chrome. Maar actieve betrokkenheid van de gebruiker bij het bemachtigen van de cookies van een browser is niet nodig, stelt Bowne. Dat kan ook met speciaal daarop gerichte malware, door cross site scripting of bijvoorbeeld door het stelen van een smartphone.
Veel internetdiensten kwetsbaar
Het probleem blijkt tot Bownes ongenoegen niet beperkt tot Microsoft. Ook bij Yahoo Mail, Twitter, LinkedIn, Wordpress, Amazon, iCloud, NetFlix, Github, CourseSmart, Wase en TigerDirect is vastgesteld dat de cookie bij het verlaten van de webapplicatie niet wordt gewist. In een aantal gevallen krijgt de aanvaller zelfs potentieel toegang tot de betaalfunctie. "De log off-functie is dus het omgekeerde van beveiliging - die ontzegt wel de gebruiker toegang, maar niet zijn aanvaller", schrijft Bowne.
Het probleem is niet algemeen, wat meteen ook bewijst dat er niet een inherente noodzaak bestaat om cookie-hergebruik toe te staan. Bij onder andere Googles Gmail, Facebook, Dropbox en Travelocity werkt Bownes trucje niet.
Bron: AutomatiseringsGids
Daarvoor waarschuwt Sam Bowne, ethisch hacker en professor computernetwerken en informatietechnologie aan het City College van San Francisco.
Bowne ontdekte het probleem vorig jaar al in Microsofts Hotmail en Outlook en maakte daarvan ook melding bij Microsoft. Dat besloot er niet onmiddellijk iets aan te doen, maar beloofde ernaar te kijken in een toekomstige versie. Onlangs besloot hij te kijken of het probleem in Office 365 was opgelost. Dat leek niet het geval.
Opgeslagen cookie geeft toegang tot account
De praktijk waar Bowne zich aan stoort is het opslaan van een persistente cookie bij het openen van de mailaccount in Office 365. Met die cookie kan men een sessie opnieuw opstarten zonder in te loggen, als men beschikt over het internetadres van een mailsessie. Het enige dat men dan hoeft te doen is die URL in de browser in te voeren en vervolgens de gekopieerde cookies te importeren. Dat kan ook op een andere machine dan waarop de sessie werd geopend en werkt zelfs als het wachtwoord wordt gewijzigd voordat die cookie wordt hergebruikt.
Bowne voerde de test zelf uit door de cookies te exporteren en weer binnen te halen met de Edit This Cookie-extensie van Google Chrome. Maar actieve betrokkenheid van de gebruiker bij het bemachtigen van de cookies van een browser is niet nodig, stelt Bowne. Dat kan ook met speciaal daarop gerichte malware, door cross site scripting of bijvoorbeeld door het stelen van een smartphone.
Veel internetdiensten kwetsbaar
Het probleem blijkt tot Bownes ongenoegen niet beperkt tot Microsoft. Ook bij Yahoo Mail, Twitter, LinkedIn, Wordpress, Amazon, iCloud, NetFlix, Github, CourseSmart, Wase en TigerDirect is vastgesteld dat de cookie bij het verlaten van de webapplicatie niet wordt gewist. In een aantal gevallen krijgt de aanvaller zelfs potentieel toegang tot de betaalfunctie. "De log off-functie is dus het omgekeerde van beveiliging - die ontzegt wel de gebruiker toegang, maar niet zijn aanvaller", schrijft Bowne.
Het probleem is niet algemeen, wat meteen ook bewijst dat er niet een inherente noodzaak bestaat om cookie-hergebruik toe te staan. Bij onder andere Googles Gmail, Facebook, Dropbox en Travelocity werkt Bownes trucje niet.
Bron: AutomatiseringsGids