Interpol-Homepage ließ sich durch Fremdeingriff manipulieren

Manipulierte Interpol-Fahndungsseite mit Sachsens Innenminister Markus Ulbig
Manipulierte Interpol-Fahndungsseite mit Sachsens Innenminister Markus Ulbig
Falschmeldungen machen inzwischen im Internet ihre Runden. Politisch Interessierte verbreiten Desinformationen oder Hetze beispielsweise über Ausländer. Auch falsche Informationen mit offiziellem Charakter tauchen immer wieder auf. Dafür werden oft Internetangebote gefälscht und unter ähnlichem Namen in das Netz gesetzt. Doch es geht auch einfacher. Eine Sicherheitslücke bei Interpol machte es möglich, die Homepage für Falschinformationen zu missbrauchen. Für MDR Aktuell – Das Nachrichtenradio berichtete ich darüber.

Auf der Internetseite von Interpol – www.interpol.int – ist ein bekanntes Gesicht zu sehen: Markus Ulbig, der sächsische Innenminister. Nach ihm werde gefahndet, heißt es unterhalb des offiziellen Interpol-Logos. Der sächsische Hacker Matthias Ungethüm klärt auf. Für Unternehmen versucht er deren Internetseiten und Server anzugreifen, um zu testen, ob sie wirklich geschützt sind. Ab und zu testet er auch ungefragt – so auch bei Interpol, dem weltweiten Zusammenschluss der Polizeiorganisationen. Hier hat er eine Sicherheitslücke entdeckt. Dadurch können Falschmeldungen verbreitet werden. Matthias Ungethüm:

Wir müssen noch nicht einmal eine Seite fälschen. Wir können alles direkt über die Website von Interpol verbreiten.

Matthias Ungethüm vor seiner eigenen manipulierten Interpol-Fahndungsseite
Matthias Ungethüm vor seiner eigenen manipulierten Interpol-Fahndungsseite

Das klingt so einfach. Und eigentlich ist es das auch. Es wird tatsächliche keine Seite gefälscht. Es wird auch keine Seite neu angelegt. Der Original-Link, der auf die Homepage führt, wird nur verlängert. Diese zusätzlichen Informationen sorgen dafür, dass die Seite beim Anzeigen umgebaut wird. Dieser Link lässt sich dann beispielsweise in einen Facebook-Artikel oder in eine E-Mail setzen, um ihn zu verbreiten.

Man öffnet die E-Mail, hat einen Text drin stehen, klickt auf den Text und kommt direkt zur Interpolseite.

Die E-Mail hat den Vorteil, dass die Länge des Links nicht auffällt, weil sie durch den Text verborgen wird. Diese Lücke ist nur möglich, weil der Interpol-Server die ihm zugeschickten Links nicht ausreichend kontrolliert, sagt Matthias Ungethüm:

Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol.

Welches Zeichen es ist, verrät Matthias Ungethüm nicht, damit es niemand ausprobiert. Denn durch diesen Trick kann jeder beliebige Inhalt auf die Seite gesetzt werden – auch ein virenverseuchter Trojaner zum Herunterladen. Das vermutet niemand auf der Interpol-Seite und wird kaum misstrauisch werden, wenn er sich dort beispielsweise ein Video anschauen will.

Wenn sich jetzt jemand für Interpol interessiert und will sich das Video auf der Webseite ansehen, dann kann ich natürlich sagen, ich schick denen jetzt den Link, und bei mir sieht es aber ganz anders aus. Bei mir kommt anstatt des Videos einfach ein Hinweis „Um das Video abzuspielen müssen Sie ein Update von ihrem Videoplayer machen.“ Und dann wird einfach ein Trojaner untergeschoben.

Am 30. Mai 2016 hat Matthias Ungethüm Interpol die Sicherheitslücke gemeldet
Am 30. Mai 2016 hat Matthias Ungethüm Interpol die Sicherheitslücke gemeldet

Matthias Ungethüm hat Interpol bereits am 30. Mai über das Sicherheitsproblem informiert. Doch die Lücke ist noch immer offen.

Aktualisierung 06.07.16, 10:55
Die Lücke wurde – offenbar aufgrund der Berichterstattung bei MDR Akutell – am Vormittag durch Interpol geschlossen.

Author: Michael Voß