Zweifaktor-Dienst Authy ließ jeden rein
Zwei-Faktor-Authentifizierung ist eine sichere Sache – wenn sie denn funktioniert. Authy, das von vielen prominenten Sites eingesetzt wird, ließ sich bis vor kurzem mit dem Generalschlüssel "../sms" umgehen.
- Ronald Eikenberg
Durch ein Sicherheitsleck in dem Zweifaktor-Dienst Authy ließ sich bis vor kurzem die Zweifaktor-Authentifizierung sehr einfach austricksen. Statt des per SMS zugestellten Einmalpassworts gab sich der Dienst auch mit der Zeichenfolge ../sms zufrieden, wie der Sicherheitsforscher Egor Homakov herausgefunden hat.
Authy bietet Betreibern von Webdiensten die Möglichkeit, den Login-Prozess mit einem zweiten Faktor abzusichern. Der Nutzer muss dann beim Login neben seinem Passwort auch noch einen einmalig gültigen Verifikationscode eingeben, den er per SMS bekommt. Authy wird unter anderem von Cloudflare, der Spiele-Streaming-Seite twitch sowie bei Bitcoin-Börsen eingesetzt.
Homakov hat bemerkt, dass man bei Authy statt des Verifikationscodes auch einfach die Zeichenfolge ../sms eingeben konnte, um die Zweifaktor-Überprüfung zu absolvieren. Schuld an diesem Effekt ist ein Fehler beim Escaping der von Nutzern eingegebenen Zeichenfolge. Den Fehler leistete sich ausgerechnet das Ruby-Gem rack-protection, das Betreibern von Ruby-Anwendungen verspricht, gängige Web-Angriffe abzuwehren.
Weitere Sicherheitslücken entdeckte Homakov in den Modulen Authy-node und Authy-python, welche Webseitenbetreiber nutzen können, um mit der API des Zweifaktor-Dienstes zu sprechen. Auch durch diese Lücken konnte man die Zweifaktor-Authentifizierung ohne gültiges Einmalpasswort absolvieren.
Der Forscher hat die Lücken am 8. Februar gemeldet, kurz darauf wurden rack-protection, Authy-node und Authy-python abgesichert. Durch die neue Version von rack-protection ist Authy selbst nicht mehr anfällig. Wer die Module Authy-node oder Authy-python zur Kommunikation mit dem Dienst nutzt, sollte sicherstellen, dass sie auf dem aktuellen Stand sind. (rei)
