EHI Zertifikat fälschen? Kein Problem!

EHI Zertifikat fälschen? Kein Problem!

Dank einer XSS Schwachstelle, die wir bereits vor etwa 2 Wochen bei den Betreibern des "EHI Geprüfter Online-Shop" Internetportals (shopinfo.net) gemeldet haben, ist das Fälschen einer Zertifizierung derzeit einfacher als gedacht. Betrüger können sich ihr Wunschzertifikat einfach selbst erstellen und über manipulierte Parameter in die Website einschleusen. Die Betreiber haben bisher leider nicht auf unsere Hinweise reagiert. Unsere Email an die Betreiber wurde nicht beantwortet und auch die Schwachstelle wurde nicht beseitigt. ...

Shopinfo.net bzw. die EHI Retail Institute GmbH bietet die Zertifizierung für Onlineshops an und möchte somit das Vertrauen der Kunden/Besucher des jeweiligen Onlineshops steigern und zugleich vermitteln, dass es sich um einen seriösen, geprüften Shop handelt. Dabei wird nach einer erfolgreichen Prüfung des Shops ein Siegel herausgegeben und ein entsprechendes Zertifikat auf der Website Shopinfo.net platziert. Um ganz sicher zu gehen, dass es sich um ein echtes Zertifikat handelt, sollte der Kunde immer auf das Siegel klicken, um auf die entsprechende Unterseite bei Shopinfo.net zu gelangen. So, wird es auch auf der Seite "Achtung - Siegelmissbrauch" beschrieben:

Nun, das ist ja soweit in Ordnung. Was aber passiert, wenn eine Sicherheitslücke genau diese "Echtheitsprüfung" für den Besucher/Kunden aushebelt und ein Zertifikat anzeigt, wo eigentlich kein Zertifikat vorhanden ist? Sie denken das geht nicht? Doch, sehr wohl geht das. Über ungefilterte Parameter ist es möglich, beliebige Inhalte in die Website einzuschleusen. So könnte ein Angreifer/Betrüger die Schwachstelle gezielt dazu ausnutzen, ein gefälschtes Zertifikat auf der aufgerufenen Website zu platzieren. 

Angenommen A ist Betreiber eines betrügerischen Onlineshops und B der gutgläubige Kunde, der gerne ein neues Sofa für das Wohnzimmer bestellen würde. A könnte ein geklautes Siegel in den eigenen Shop einbinden und einfach einen präparierten Link auf eine, über bestimmte Parameter manipulierte Seite bei Shopinfo.net setzen. B wird sich im Shop umsehen und das Angebot sehr interessant finden. Natürlich möchte man als Kunde auf "Nummer Sicher" gehen, darum klickt B auch auf das Siegel, um sich - wie von Shopinfo.net empfohlen - die Echtheit des Siegels bestätigen zu lassen. B wird nun auf eine manipulierte Seite geleitet, welche "www.shopinfo.net/zertifizierte-shops/..." in der Adressleiste beinhaltet und natürlich wird auch ein passendes Zertifikat erscheinen. Nur wird B sicherlich nicht merken, dass das Zertifikat in diesem Fall von einer externen Seite nachgeladen oder einfach über die Parameter eingeschleust wurde.

Natürlich könnte man die Schwachstelle auch für beliebige andere Schweinereien nutzen und zum Beispiel den Computer des Besuchers mit Malware infizieren. Einem Angreifer wären hier nahezu keine Grenzen gesetzt. Wir gehen aber davon aus, dass die Möglichkeit für das Fälschen von Zertifikaten bereits ein sehr gravierendes Problem darstellt.

Auf die Schwachstelle sind wir zufällig gestoßen, als wir eine Beschwerde bei Shopinfo.net eingereicht hatten. Grund dafür, war die Problematik bei Channel21, welche lange Zeit ignoriert wurde. Shopinfo.net hat auch Channel21 ein Zertifikat ausgestellt und bietet die Möglichkeit, eine Beschwerde über zertifizierte Shops einzureichen. Was Channel21 angeht, hat man dort recht schnell reagiert und auch dafür gesorgt, dass die Betreiber des Teleshopping-Senders die Schwachstelle beseitigen. Von der bisher ausbleibenden Reaktion von EHI selbst ist man aber ein wenig enttäuscht.

Wir hoffen an dieser Stelle, dass die öffentliche Berichterstattung einen Anstoß dafür gibt, die Problematik möglichst umgehend zu beseitigen. Wir stehen natürlich den Betreibern gerne mit Rat und Tat zur Seite und übersenden gerne detaillierte Informationen zur Problematik. Sollte aber weiterhin keine Reaktion erfolgen, werden wir Nyan Cat zur Aufklärung nach Köln losschicken. ;o)

Update 16.09.2011:
Vor 3 Tagen erhielten wir von den Betreibern eine Email, in der man sich sehr knapp für die sachdienlichen Hinweise bedankt und über die Beseitigung der Schwachstelle berichtet hatte. Offensichtlich wurden die Betreiber erst jetzt, nach der öffentlichen Berichterstattung auf die Problematik aufmerksam. Man hat wohl versucht "schnell schnell" für eine Beseitigung zu sorgen, um öffentliche Kritik zu vermeiden. Dabei hatte man aber keinen Wert auf eine Rückfrage bei uns gelegt und lediglich selbst versucht, die Lücke zu finden und zu schließen. Besonders schlau war die Aktion allerdings nicht. Es wurde zwar eine Schwachstelle geschlossen - eine weitere ist aber immernoch vorhanden. Wir können auch nicht ausschließen, dass sich noch weitere Problemstellen bei Shopinfo.net verbergen.

Auch bei diversen Shops, die von EHI zertifiziert wurden, haben wir in den vergangenen Tagen Schwachstellen gemeldet, die zum Teil als sehr kritisch einzustufen sind. Wir werden auch zu diesen Fällen noch den ein oder anderen Beitrag schreiben. Reaktionen von den jeweiligen Betreibern, blieben leider auch dort bisher aus.