/Tech

Sicherheitslücke bei WEB.DE, GMX und 1&1: So konnten Fremde euer Postfach kapern

Armin Hempel, Tom Rothe 18.08.2015

Die mobilen Webmail-Angebote von WEB.DE, GMX und 1&1 hatten bis zum 14. August ein massives Sicherheitsproblem. Das haben Recherchen von WIRED Germany ergeben. Unter bestimmten Voraussetzungen ließen sich E-Mail-Postfächer durch Dritte öffnen und kapern. Der Klick auf einen Link in einer empfangenen Email genügte, um dies möglich zu machen. Potenziell betroffen waren bis zu 1,7 Millionen Accounts. Wir haben United Internet, den Anbieter der drei Portale, darüber informiert. Mittlerweile ist die Lücke geschlossen. Wie lange sie bestand und ob sie missbraucht wurde, ist unklar.

Bei GMX, WEB.DE und 1&1 (alle gehören zu United Internet) hat bis vor Kurzem eine gravierende Sicherheitslücke bestanden. Das haben Recherchen von WIRED Germany ergeben. Die Lücke machte es Unbefugten möglich, vollen Zugriff auf fremde E-Mail-Accounts zu erhalten. Dafür waren weder Benutzername noch Passwort der Accounts nötig. Unter bestimmten Voraussetzungen genügte lediglich das Klicken des Kontoeigentümers auf einen HTTPS-Link, der per E-Mail an das betreffende Konto gesendet wurde. Das Problem fiel auf, weil in der Software, mit der WIRED den Traffic auf seiner Website erfasst, ein verdächtiger Link auftauchte. Der ließ darauf schließen, dass es möglich sein könnte, sich in ein fremdes E-Mail-Konto einzuloggen.

Schritt 1: Der User öffnet von seinem Postfach aus einen per E-Mail übersandten Link.

Schnell wurde klar: Die Sicherheitslücke machte den vollen Zugriff auf fremde Postfächer möglich. Unbefugte hätten in E-Mails enthaltene Passwörter, Kreditkartennummern und Login-Informationen entwenden und mit den Informationen aus dem Postfach sogar ganze Online-Identitäten stehlen können. Auch ein Bot, der automatisiert weitere E-Mails mit den entsprechenden Links an Kontakte aus dem persönlichen Adressbuch des Betroffenen verschickt, wäre denkbar gewesen. Mit jedem Klick eines Empfängers auf einen solchen Link wäre der Zugriff auf ein weiteres Postfach möglich geworden.

Schritt 2: Im Server-Log der besuchten Seite lassen sich Referrer-URL und Session-ID einfach kopieren.

Potenziell gefährdet waren alle Nutzer der mobilen Mail-Portale von WEB.DE, GMX und 1&1, die die Cookies ihrer Browser auf Smartphone oder Tablet deaktiviert haben. Nach eigenen Angaben haben die drei Portale ungefähr 34 Millionen aktive Nutzer. Da rund fünf Prozent aller Internet-Nutzer permanent mit deaktivierten Cookies surfen, waren nach unseren Berechnungen bis zu 1,7 Millionen United-Internet-Accounts gefährdet — sofern diese per Webmail-Interface abgefragt wurden. Viele User tun das, weil sie etwa aus Gründen der Privatsphäre keine E-Mail-App auf dem Handy oder Tablet installieren möchten.

Schritt 3: Mit ihrer Hilfe gelangt man ins Postfach des Betroffenen.

Am 11. August wiesen wir United Internet auf die Sicherheitslücke hin und baten um eine Stellungnahme. Am 14. August bemerkten wir, dass die Sicherheitslücke geschlossen worden war. Am Montag schließlich schrieb uns ein Sprecher des Unternehmens: „Wie ich inzwischen von den zuständigen Fachkollegen erfahren habe, besteht dieses Sicherheitsproblem nicht mehr.“ Zwischen der Entdeckung des Problems und dem Fix durch United Internet war es uns allerdings zwei Wochen lang möglich, die Sicherheitslücke mit eigenen Servern und Test-Accounts beliebig oft zu reproduzieren. Wie lange das Problem davor schon bestand, ist unklar.

Trotz der schnellen Reaktion von United Internet empfehlen wir ausdrücklich, Webmail-Interfaces nur im Notfall zu verwenden. Alle wichtigen Mail-Anbieter stellen ihren Kunden Zugänge für Desktop-Clients zur Verfügung. Bei deren Verwendung sollte man immer darauf achten, dass der Mail-Client ausschließlich verschlüsselte Verbindungen per SSL-Protokoll aufbaut — die entsprechende Einstellung lässt sich in jedem Mail-Client finden. Auch die Apps von E-Mail-Anbietern sind generell sicherer als deren Webmail-Interfaces.

Zum technischen Hintergrund:
Zugriff konnten sich Fremde verschaffen, indem sie eine E-Mail mit einem Link versenden. Klickte ein Nutzer von GMX, WEB.DE oder 1&1 in der mobilen Browser-Version (mit deaktivierten Cookies) auf diesen Link, wurde seine Session-ID an den Server übermittelt. Eigentlich darf eine solche Session-ID unter keinen Umständen nach außen gelangen, sonst ist es Dritten möglich, sich gegenüber dem Webserver als der eigentliche User auszuweisen und so ins Postfach der Betroffenen zu gelangen. Aus diesem Grund weisen die meisten Webmail-Dienste Besucher ab, deren Browser keine Cookies akzeptieren.

So sieht es mittlerweile aus, wenn man sich bei WEB.DE-Webmail mobil und ohne Cookies einloggen möchte.

Im Fall von WEB.DE, GMX und 1&1 wurde die Session-ID jedoch per sogenannter Referrer-URL übermittelt. Dagegen werden normalerweise sogenannte Dereferrer eingesetzt, die einen über zwischengeschaltete HTML-Seiten weiterleiten. Dadurch wird die Session-ID aus dem Referrer entfernt. Bei den betroffenen Portalen wurde allerdings ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt.

Um diese Lücke von vornherein zu vermeiden, wären einfache Sicherheitsmechanismen ausreichend gewesen: Nutzern mit deaktivierten Cookies wird bei den betroffenen Portalen seit vergangenem Freitag der Zugang zu den Mobilplattformen verweigert. Schließlich sei das auch bei anderen großen Anbietern „wie beispielsweise T-Online, Microsoft und Yahoo“ üblich, gibt auch United Internet zu. Der Einsatz des oben genannten „HTML Meta Refresh“-basierten Dereferrers hätte zudem dafür sorgen können, dass die Referrer-URL auch beim Verweis auf einen HTTPS-Server nicht direkt in ein fremdes Postfach führt.

Wir bedanken uns bei Simon Tennant und René Treffer, die unsere Ergebnisse als unabhängige Berater überprüft und bestätigt haben. 

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden