Sicherheitsproblem bei Trusted Shops aufgedeckt!
sToRm 
Nachdem wir bereits vor wenigen Wochen über Sicherheitsprobleme bei den Zertifikat-Herausgebern "EHI" stolperten, wurden wir nun auch auf eine erhebliche Problemstelle bei "Trusted Shops" aufmerksam. Die XSS-Schwachstelle erlaubt die Manipulation der Seiteninhalte beim Aufruf eines präparierten Links. Betreiber von betrügerischen Onlineshops könnten diese Schwachstelle für das Fälschen von Zertifikaten bzw. um eine Existenz des Zertifikats vorzutäuschen, ausnutzen. Kunden könnten so gezielt getäuscht und mit falschem Vertrauen betrogen werden. Angreifer könnten das Vertrauen der Besucher auch für gezielte Angriffe ausnutzen und über ggf. vorhandene Schwachstellen im Browser die Kontrolle über den PC des Besuchers erreichen. So ist nicht nur das Fälschen eines Siegels, sondern auch ohne "eigenen Shop" eine indirekte Attacke der TrustedShops-User möglich.
Theoretisch könnte das Vertrauen in das Image von Trusted Shops auch zu Angriffen auf Shopbetreiber führen, die das Siegel in deren Onlineshop verwenden. Hierbei würde ein präparierter Link in einer Kontaktnachricht über das Formular im Onlineshop oder auch per Email ausreichen, um bei Aufruf an die Sitzung in der Shopadministration oder die gespeicherten Zugangsdaten im Browser zu gelangen.
Um die Echtheit unserer Berichterstattung zu bestätigen und die Problematik zu simulieren, haben wir - wie so oft - unsere Sonderbeauftragte "Nyan Cat" zur Aufklärung geschickt:
Video bei YouTube: http://www.youtube.com/watch?v=cESY7uIEDj0
Die Verantwortlichen wurden umgehend nach Feststellung der Schwachstelle über die Problematik informiert und gebeten, das Problem möglichst schnell zu beseitigen, da eine erhebliche Gefahr für die Nutzer besteht. Sobald die Schwachstelle beseitigt wurde, werden wir natürlich umgehend berichten und Entwarnung geben. Solange die Problematik nicht beseitigt wurde, sollten Kunden, die das Siegel eines Shops überprüfen möchten, nicht auf das jeweilige Trusted Shops Siegel im Onlineshop klicken, sondern eine direkte Suchanfrage bei TrustedShops.de starten: http://www.trustedshops.de/ Zusätzlich wäre das Nutzen von Browser-Addons wie zum Beispiel "NoScript" empfehlenswert.
Update:
Die Betreiber haben sich in der Zwischenzeit gemeldet. Nachdem wir eine Demonstration der Schwachstelle übersandt hatten, konnte diese relativ schnell beseitigt werden. Die Gefahr welche von dieser Schwachstelle ausging, besteht also aktuell nicht mehr. Wir freuen uns, dass sich das ehrenamtliche Engagement wieder einmal gelohnt hat.
