Cookies stellen eine weithin unterschätzte Bedrohung für eigentlich sichere HTTPS-Verbindungen dar. Alle Browser sind für konkrete Angriffe anfällig, die private Daten gefährden, warnt das renommierte CERT/CC.
Ein internationales Team um Xiaofeng Zheng präsentiert in einer Forschungsarbeit Angriffe auf Cookies in gesicherten HTTPS-Verbindungen. Das Computer Emergency Response Team der Carnegie-Mellon-Universität bestätigt jetzt, dass alle großen Browser für derartige Angriffe anfällig sind. Durch manipulierte Cookies können Angreifer an private Daten gelangen, die eigentlich durch Transport Layer Security (TLS) geschützt sein sollten.
Cookies kommen sehr häufig zum Einsatz, um etwa eine Sitzung eines angemeldeten Benutzers mit einer eindeutigen ID zu kennzeichnen, der Session-ID. Bei jedem Zugriff auf die Web-Seiten eines Dienstes sendet der Browser das gespeicherte Cookie mit und der Server erkennt daran, zu welcher Session diese Aktion gehört. Das Problem: Die Browser unterscheiden dabei verschiedene Quellen nicht ausreichend. So wird ein über eine ungesicherte HTTP-Verbindung gesetztes Cookie immer auch bei späteren HTTPS-Zugriffen mitgeschickt. Umgeleitete Bezahlvorgänge
Ungesicherte HTTP-Verbindungen kann ein Angreifer in einer Man-in-the-Middle-Position unbemerkt erzeugen und mit beliebigen Inhalten füllen. Auf diesem Weg kann ein Angreifer etwa ein Session-Cookie durch eingeschleuste HTTP-Verbindungen überschreiben und damit eigene Session-IDs setzen. Bei einem realen Angriff für ihr Paper Cookies Lack Integrity: Real-World Implications manipulierten die Forscher das Web-Interface eines Google-Mail-Nutzers so, dass er oben seine eigene Mailbox sah, die unten eingeblendeten Chat-Fenster jedoch zum Account des Angreifers gehörten. Bei einem beliebten chinesischen E-Commerce-Dienst gelang es ihnen sogar, über derart eingeschleuste Sitzungen Bezahlvorgänge umzuleiten.
Der Schutz vor solchen Cookie-Angriffen ist schwierig, da die ausgenutzten Probleme auf grundlegende Schwächen im Design der relevanten Standards zurückzuführen sind. Richtigen Schutz böte nur eine Überarbeitung von RFC 6265 und RFC 6454 mit einer besseren "Same Origin Policy für Cookies", bilanziert das CERT/CC in seiner Vulnerabiilty Note 804060. Bis das passiert, schützt lediglich konsequentes HTTPS mit HSTS – was aber in der Praxis nahezu niemand macht.