Studenten knacken Microsofts CardSpace

Nach Auskunft der Lehranstalt haben Christoph Löhr und Xuan Chen einen erfolgreichen Angriff auf Cardspace gestartet. Sie konnten damit zeigen, dass ein Angreifer trotz der eingebauten Sicherheitsmassnahmen auf die Identitätsdaten des Opfers zugreifen kann. Konkret ist es den beiden Studenten bei ihrem Angriff gelungen, die in CardSpace genutzen Security-Token zu stehlen.

Ein wirklicher Hacker könnte so in den Besitz der geschützten und verschlüsselten Nutzerdaten wie Passwörter, Kreditkartennummern und Adresse gelangen. Im Prinzip funktioniert der Klau wie das DNS-Spoofing (Domain Name Service). Dabei wird die Servernamenauflösung des Anwendersystems getürkt. Statt bei der echten Webadresse, landet der Surfer bei einem Nachbau der Hacker. Die Bochumer präsentieren bei ihrem Angriff dem Surfer einmal die echte und einmal eine nachgemachte Seite. Dadurch gelangen sie in den Besitz des CardSpace-Tokens und hätten theoretisch selbst auf Online-Shoppingtour gehen können. Löhr und Chen haben derweil Microsoft informiert. Auf der Webseite der beiden ethischen Hacker sind sowohl der Angriff im Detail beschrieben als auch mögliche Gegenmassnahmen erläutert.

demo.nds.rub.de/cardspace/