Auf der 40th Annual Computer Security Applications Conference (ACSAC) 2024, die vom 9. bis 13. Dezember in Honolulu, Hawaii, stattfand, wurde das Papier „Single Sign-On Privacy: We Still Know What You Did Last Summer“ von Maximilian Westers, Andreas Mayer und Louis Jannett mit dem Distinguished Paper with Artifacts Award ausgezeichnet. Ihre Studie deckt kritische Datenschutzschwachstellen in Single Sign-On (SSO) Implementierungen auf, die täglich von Millionen Menschen genutzt werden.
Was ist Single Sign-On (SSO)
SSO vereinfacht die Online-Authentifizierung und ermöglicht es Benutzern, sich mit ihren Konten bei Anbietern wie Google, Facebook oder Apple (so genannte Identitätsanbieter oder IdPs) bei mehreren Websites anzumelden. Dieses System ist zwar bequem, doch werden dabei Benutzerdaten zwischen den Websites und Dritten ausgetauscht, was Bedenken hinsichtlich des Datenschutzes aufwirft. Diese Anbieter können die Aktivitäten der Nutzer über verschiedene Websites hinweg verfolgen, und die Nutzer müssen darauf vertrauen, dass sie verantwortungsvoll mit den Daten umgehen.
Aufdeckung von Datenschutzverstößen
Das Papier deckt drei neue Arten von Datenschutzverstöße in SSO-Systemen auf:
- Partielle Leaks: Identitätsanbieter erfahren etwas über den Besuch des Nutzers auf einer Website, auch ohne explizite Anmeldeaktionen oder das Bewusstsein des Nutzers, und ermöglichen so die Nachverfolgung.
- Vollständige Leaks: Websites können die Identität eines Benutzers automatisch im Hintergrund abrufen und eine automatische Anmeldung durchführen, ohne dass man sich dessen bewusst ist.
- Eskalierte Leaks: Nutzeridentitäten werden an Dritte wie Tracker oder Werbeagenturen weitergegeben, was die Risiken für die Privatsphäre erhöht.
Eine groß angelegte Analyse ergab, dass mehr als 10.000 Websites von diesen Datenschutzverstößen betroffen sind und die persönlichen Daten der Nutzer auch ohne deren Wissen preisgeben.
Auf dem Weg zu einer datenschutzfreundlichen Zukunft
In dem Papier werden außerdem Strategien zur Risikominderung erörtert, wobei das Potenzial der Federated Credential Management (FedCM) API hervorgehoben wird. Diese aufstrebende Browsertechnologie wurde entwickelt, um explizit die im Papier vorgestellten Datenschutzverstöße zu verhindern und die Privatsphäre der Benutzer zu schützen, indem sie als Vermittler zwischen IdPs und Websites fungiert und sicherstellt, dass sensible Daten geschützt bleiben.
Die Ergebnisse unterstreichen die Dringlichkeit, SSO-Systeme zu verbessern, um die Privatsphäre der Benutzer zu schützen und gleichzeitig die Bequemlichkeit zu erhalten. Sie setzen einen Maßstab für die Weiterentwicklung sicherer und datenschutzgerechter digitaler Authentifizierungslösungen.