Amazon ignoriert Sicherheitslücke ein Jahr lang

Der Sicherheitsexperte Chris Shiflett wies Amazon vor einem Jahr auf eine Sicherheitslücke hin, die bis heute nicht behoben wurde, so dass er nun Details veröffentlicht hat. Sofern Amazon-Kunden das „1-Click“-Feature aktiviert haben, kann ein Dritter Bestellungen in deren Namen tätigen.

Die Sicherheitslücke ist ein klassischer Fall von Cross-Site Request Forgery. Dabei veranlasst eine bösartige Website den Browser des Opfers zum Senden einer Anfrage an Amazon, beispielsweise indem das Opfer auf einen als Grafik getarnten Formular-Button klickt. Der Browser sendet daraufhin in seiner Anfrage an Amazon gemäß HTTP-Spezifikation auch vorhandene Cookies mit, so dass Amazon ihn authentifizieren kann.

Da Amazon nicht sicherstellt, dass das Opfers tatsächlich auf den „1-Click“-Link auf der Amazon-Seite geklickt hat, wird die von der bösartigen Website definierte Ware bestellt. Solche Sicherheitslücken lassen sich durch Verwendung eines Einmalschlüssels umgehen. Beim Aufruf einer Seite, die einen „1-Click“-Link enthält, generiert der Server einen Einmalschlüssel. Diesen hängt er an den „1-Click“-Link an und speichert ihn zudem in der Datenbank.

Klickt der Kunde nun auf den „1-Click“-Link, kann der Server den vom Browser gesendeten Einmalschlüssel mit der Kopie in der Datenbank vergleichen und die Ware genau dann bestellen, wenn die Schlüssel übereinstimmen. Da eine bösartige Website diesen Einmalschlüssel – sichere Browser vorausgesetzt – nicht in Erfahrung bringen kann, ist die Sicherheitslücke geschlossen.