Jeder Jugendliche unter 26 Jahren wird sie kennen: Die Swisscom Mobile Xtra-Zone (www.xtrazone.ch). Der Dienst bietet für alle Jugendliche unter 26 Jahren 500 Gratis SMS / MMS im Monat sowie eine Chat Möglichkeit mit anderen Members an. Auch ich nutze den Dienst täglich und habe heute ein Leck im Anmelde Script entdeckt. Somit lassen sich ziemlich einfach die Login Informationen wie Handynummer und Passwort auslesen.
Peinlich für die Swisscom, denn es ist nicht das erste Mal dass bei ihr erhebliche Sicherheitsmängel auftreten. Bereits im November 2007 sowie im Januar 2008 machte ich auf eine XSS-Lücke bei swisscom.com sowie einen offenen DNS Server aufmerksam (Die Probleme sind inzwischen behoben).
Für das Login bei der Xtra-Zone (Link) wird die Handynummer sowie ein Passwort verlangt. Die Authentifizierung geschieht über HTTPS (SSL) und scheint somit sicher zu sein. Doch der Schein trügt:
Wir sehen am Ende der URL die Variable “uri”, welche für URL steht. Diese Variable wird ungenügend überprüft und somit kann dort irgendeine URL steht:
Nach einem Klick auf “Weiter” übermittelt das Login die vom Client gesendete POST Anfragen weiter an die URL, welche hinter dem Parameter “uri” steht. Somit lassen sich sämtliche Login Informationen auslesen:
Ein Angreifer muss also dem Opfer einen präparierten Link zukommen lassen und schon hat er die benötigten Login Daten. Um euch das Problem vor Augen zu führen habe ich ein Script programmiert, welches die Login Daten abfängt und anzeigt:
Die Sicherheitslücke wurde Swisscom mitgeteilt. Nun ist zu hoffen, dass Swisscom dieses Leck auch möglichst schnell schliesst.
UPDATE 25.04.2008
Datum: Fri, 25 Apr 2008 10:14:36 +0200
Betreff: Passwort klau bei Swisscom Mobile Xtra-Zone
Hallo
Vielen Dank für Deine Mitteilung. Wir haben die Sache geprüft und leiten Massnahmen ein, um die Schwachstelle zu beheben.
Swisscom (Schweiz) AG
Security SCS
Hardturmstrasse 3
CH-8037 Zürich
Internet: http://www.swisscom.com
UPDATE 09.05.2008
Schwachstelle wurde durch Swisscom behoben.
