Identitätsdiebstahl: Punkte in E-Mail-Adressen - Google ignoriert sie, alle anderen nicht
Wie angekündigt geht es in dieser Folge um die von Jim Fisher gefundene Schwachstelle: "The dots do matter: how to scam a Gmail user". Die hat zwar nichts mit Identitätsdiebstahl direkt zu tun, passt aber trotzdem zum Thema.
Sind Punkte in der Mailadresse relevant oder nicht?
Um in folgenden keine möglicherweise existierenden E-Mail-Adressen zu
"verbrennen" verwende ich als Top-Level-Domain von GMX die für solche
Demo-Zwecke vorgesehene TLD .example. Bei Google kann nichts
passieren, die verwenden maxmustermann@gmail.com selbst als
Beispiel. Wie es damit bei GMX aussieht weiß ich nicht, da
könnte es so eine Adresse wirklich geben. Und die will ich dann ja
nicht den Spammern zum Fraß vorwerfen. Obwohl: Sammeln die
überhaupt noch Adressen auf Websites? Egal, sicher ist sicher!
Kommen wir also nun zur von Jim Fisher gefundenen Schwachstelle:
Die Ausgangslage
Googles Gmail ignoriert Punkte in Mail-Adressen. Wenn Max Mustermann die
Adresse maxmustermann@gmail.com hat gehören ihm auch alle Kombinationen
mit Punkten darin, z.B.
max.mustermann@gmail.com
max.muster.mann@gmail.com
m.a.x.mustermann@gmail.com
maxmuster.mann@gmail.com
usw. usf.
Bei den meisten E-Mail-Providern sind das aber unterschiedliche E-Mail-Adressen, die in unterschiedlichen E-Mail-Postfächern landen können.
Wenn z.B. jemand bei GMX die Adresse maxmustermann@gmx.example
registriert hat, kann jemand anderes
max.mustermann@gmx.example registrieren. Beide Benutzer
erhalten jeweils die E-Mails, die an genau ihre Adresse adressiert sind.
Viele Anbieter im Web verwenden für die Registrierung die E-Mail-Adresse als Unterscheidungsmerkmal und gehen dabei davon aus, dass unterschiedliche E-Mail-Adressen unterschiedliche Identitäten sind und daher unterschiedliche Benutzerkonten bekommen.
Die Schwachstelle und der Angriff darauf
Jim Fisher hat herausgefunden, dass das auch bei Netflix so ist und Cyberkriminelle das ausnutzen können, um Dritte für ihren Account bezahlen zu lassen.
Wenn Max Mustermann sich bei Netflix mit der Adresse
maxmustermann@gmail.com registriert hat kann sich jeder andere
mit z.B. max.mustermann@gmail.com registrieren und bekommt ein
anderes Konto zugewiesen.
Ein Cyberkrimineller kann das ausnutzen und sich als
max.mustermann@gmail.com für einen Testzugang
anmelden und dabei Fake-Kreditkartendaten angeben.
Wenn Netflix bemerkt, dass die Daten falsch sind, werden sie gesperrt und
eine E-Mail mit der Aufforderung zur Angabe der Kreditkartendaten an
max.mustermann@gmail.com geschickt.
Die landet aufgrund Googles Regelung bei
maxmustermann@gmail.com.
Wenn der nun nicht aufpasst und seine Kreditkartendaten bei Netflix eingibt
(was nicht unwahrscheinlich ist, da die Mail ja von Netflix stammt und auf
den Netflix-Server führt) muss der Cyberkriminelle danach nur noch
seine E-Mail-Adresse von max.mustermann@gmail.com auf irgend
eine andere E-Mail-Adresse ändern und kann danach Netflix solange auf
Kosten von Max Mustermann nutzen bis der das irgendwann merkt.
"Google, you have a problem!"
Erst mal: Google macht da ja wohl was falsch, verstößt aber gegen keinerlei Standard oder sonstige Regelung. Das Problem entsteht nur, weil alle oder fast alle anderen Mail-Anbieter es anders machen.
Es gibt einen Standard für E-Mail-Adressen, RFC 5322 legt fest, wie sie aufgebaut sein müssen. Nur wie die Mailserver (bzw. eigentlich deren Betreiber) die vergeben sollen wurde nie definiert. Das normalerweise jeder Benutzer genau die eine registrierte Mail-Adresse hat ist kein Grund, dass Google das nicht anders sehen und handhaben kann, es wird nirgends verboten.
Und ehrlich gesagt bin ich mir auch nicht sicher, ob man das überhaupt über einen Standard regeln könnte. Wie sollte so eine Regel auch aussehen?
Sowas wie "E-Mail-Adressen müssen genau einem Benutzer/Konto zugeordnet sein!" würde das Problem nicht lösen, das trifft in beiden Fällen zu: Bei Google sind alle möglichen Kombinationen genau einem Benutzer zugeordnet, bei den anderen Anbietern ist jede einzelne Adresse genau einem Benutzer zugeordnet.
Und umgekehrt "Jedem Benutzer/Konto darf nur genau eine E-Mail-Adresse zugeordnet sein!" zu fordern schafft mehr Probleme als es löst, es gibt ja durchaus gute Gründe dafür das ein Benutzer mehr als eine E-Mail-Adresse hat.
Wie löst man das Problem?
Netflix könnte die Mail-Adressen bei der Registrierung überprüfen, dann wäre sichergestellt dass die E-Mails auch den richtigen Benutzer erreichen. Damit wäre das Problem für Netflix gelöst.
Außerdem wäre es aus Sicherheitssicht nicht schlecht, vor
kritischen Änderungen (und dazu gehört die Änderung der
Kreditkartendaten eindeutig) eine erneute Authentifizierung verlangen. Die
würde in diesem Fall daran scheitern, dass der angegriffene
maxmustermann@gmail.com das Passwort von
max.mustermann@gmail.com nicht kennt.
Aber das löst das grundsätzliche Problem nicht: Googles "Punkte spielen in Gmail-Adressen keine Rolle"-Ansatz. Es kann jederzeit ein anderer Anbieter in die gleiche Falle tappen.
Google verhält sich hier anders als (fast oder tatsächlich?) alle anderen Mail-Anbieter und sollte das "Feature" zum "Bug" umdeklarieren und sofort für alle neuen Accounts und nach einer Übergangszeit auch für alle alten abschalten. Wer mehr als eine Adresse braucht kann problemlos gezielt weitere registrieren, von denen er dann auch weiß.
Damit erledigt sich auch das Problem, das alle E-Mail-Nutzer auf bösartige Mails VON gefälschten Mail-Adressen achten müssen, Gmail-Nutzer aber zusätzlich auf welche AN gefälschte (bzw. von ihnen nicht verwendete) Adressen.
In den nächsten zwei Folgen gibt es einen kurzen Ausflug in die Welt der Industriesteuerungen, danach geht es mit dem Thema "Identitätsdiebstahl" weiter.
Trackbacks