Während erste Blogs und Inhalteanbieter den neuen Micropaymentdienst Flattr in der Beta-Version ausprobieren, läuft noch nicht alles rund: Bis Mittwochnachmittag war es möglich, fremde Flattr-Konten zu kapern.

netzwertig.com-Leser Matthias Jakel hat sich in den letzten Tagen intensiv mit Flattr befasst und ist dabei auf eine sehr kritische Sicherheitslücke gestoßen. Matthias ist Web-Entwickler und Gründer von iSwapp. Er beschäftigt sich unter anderem mit Sicherheitslücken in Webanwendungen. Ihr findet ihn bei Twitter. Es folgt sein Bericht, wie es ihm gelang, einen fremden Flattr-Account zu kapern.

Flattr besaß bis Mittwochnachmittag eine Sicherheitslücke, die es erlaubte, mit Hilfe einer manipulierten Website die Accounts von Flattr-Nutzern zu übernehmen, ohne dass diese davon etwas mitbekamen.

Nach anfänglichem Testen des Flattrns lief mir durch Zufall eine XSRF-Sicherheitslücke (Cross Site Request Forgery) über den Weg, die es erlaubte, mit Hilfe einer manipulierten Website auf einer anderen Site Aktionen auszuführen, ohne dass der Nutzer das wollte oder davon etwas mitbekam. Diese Sicherheitslücke war bei Flattr in der „E-Mail-Addresse ändern“-Funktion vorhanden. Ich testete den Vorgang mit Martin von netzwertig.com.

Durch Martins Besuch auf meiner manipulierten Website wurde in seinem Flattr-Konto eine neue E-Mail-Adresse eingetragen, die ich zuvor frei definieren konnte. Daraufhin versendete Flattr an diese Adresse eine Mail mit einem Aktivierungslink. Das Problem war, dass der Aktivierungslink nur gültig war, wenn man ihn mit dem dazugehörigen Flattr-Konto aufrief (in diesem Fall also mit Martins Konto) und eingeloggt war.

Also habe ich Martin während seines Besuchs auf meiner manipulierten Site mittels AJAX dazu gebracht, im Hintergrund den Link aus der E-Mail zu öffnen und somit die neue E-Mail-Adresse zu bestätigen – ohne dass er davon etwas mitbekam. Anschließend konnte ich mit der von mir gesetzten E-Mail-Addresse die “Passwort vergessen”-Funktion auslösen und bekam ein neues Passwort generiert, mit welchem ich mich in Martins Konto einloggen konnte.

Der Prozess der Kontenübernahme dauerte aufgrund eines verzögerten Versands der Aktivierungsmail etwa 30 Sekunden. Über diesen Zeitraum musste ich Martin dazu bringen, auf meiner manipulierte Website zu bleiben. Mit einem eingebetteten YouTube-Video aber stellt so etwas keine wirkliche Schwierigkeit dar.

Nachdem ich Flattr am Mittwochvormittag kontaktiert hatte, wurde die Sicherheitslücke binnen weniger Stunden geschlossen.