Verbraucherschützer warnen vor neuen Flash-Cookies
Ebay: Sicherheitlücke ermöglicht Identitätsdiebstahl
Die Initiative falle-internet.de bemängelt die neuen Sicherheitsmaßnahmen des Auktionsportals eBay. Die Lücke befindet sich in den Flash-Cookies, die eBay erst im April als neue Technologie zur Identitätsbestätigung eingeführt hatte. Die kleinen Dateien mit einer eindeutigen Kennung werden auf den Rechnern der Nutzer gespeichert, um Betrugsversuche mit gekaperten Mitgliedskonten zu erschweren.
So will eBay jedes Mitglied eindeutig einem Computer zuordnen und damit unbefugte Zugriffe von fremden Rechnern aus verhindern. Nach Angaben der Verbraucherinitiative falle-internet.de können durch einen Programmierfehler die Flash-Cookies zurzeit beim Besuch einer betrügerischen Internetseite ausgelesen werden, ohne dass der Nutzer etwas davon bemerkt.
Die Flash-Cookies unterstehen nicht der Cookie-Verwaltung des Browsers. Der Flash-Player liefert sie aus, sodass sie browserunabhängig und sitzungsübergreifend eingesetzt werden. Die integrierten Sicherheitsrichtlinien von Flash sorgen dafür, dass auf Flash-Cookies nur von derselben Domain zugegriffen werden kann, von der aus sie ursprünglich gesetzt wurden. Die so gespeicherten Informationen können auf verschiedenen eBay-Seiten abgefragt und abgeglichen werden. Dadurch lässt sich beispielsweise feststellen, ob das Einstellen eines Artikels von einem bekannten Computer aus erfolgt.
Screenshot der Demo-Seite zum Auslesen der Flash-Cookies (Foto: falle-internet.de)
Das von eBay zum Ausliefern und Abfragen der Cookies benutzte Flash-Objekt enthält jedoch einen schwerwiegenden Programmierfehler. Eigentlich dürften ausschließlich Ebay-eigene Seiten und Skripte Zugriff auf die darin enthaltene Funktion zum Auslesen eines Ebay-Flash-Cookies haben. Eine falsch implementierte Abfrage ermöglicht es aber nahezu jeder Webseite, eBays eigene Software zum "Cookieklau" zu verwenden. Einzige Bedingung: Die Adresse der Seite muss - ganz ähnlich wie eBays Login-Seite - mit "signin" beginnen. Eine Testseite im Internet demonstriert das Problem (Link am Ende des Artikels in den Links zum Thema).
Falle-internet.de warnt, dass durch die Sicherheitslücke Kriminelle mit gefälschten Internetseiten, die eBay zum Verwechseln ähnlich sehen (so genannten Phishing-Seiten), an die Nutzerdaten kommen. Sie erhalten nicht nur die auf ihrer Seite eingegebenen Zugangsinformationen, sondern können aus dem Cookie zusätzlich die eindeutige von eBay vergeben Kennung stehlen. Der Identitätsdiebstahl ist somit perfekt.
"Keine Flash-Cookies nutzen!"
Die Verbraucherinitiative rät die Flash-Cookies von eBay solange nicht zuzulassen, solange die Sicherheitslücke besteht. Dies könne durch FireFox-Erweiterungen wie zum Beispiel NoScript, das Zonenmodel des Internet Explorers oder mit dem Einstellungsmanager des Flash-Players geschehen. Wenn eBay keinen Flash-Cookie auslesen kann, erfolge die Identifizierung des Account-Inhabers stattdessen durch einen automatisierten Anruf auf die hinterlegte Telefonnummer.
Die Initiative falle-internet.de verfolgt insbesondere den Handel auf Online-Auktionsplattformen kritisch. Sie will sowohl erfahrene als auch unerfahrene Internetnutzer vor Betrugsmaschen schützen und deckt regelmäßig Sicherheitslücken auf.
Sagen Sie Ihre Meinung!