Seguindo os passos da vulnerabilidade OpenSSL Heartbleed , outra grande falha foi encontrada em um software de segurança de código aberto popular. Desta vez, os erros foram encontrados no ferramentas de log-in OAuth e OpenID , usado por muitos sites de tecnologia como Google, Facebook, Microsoft e LinkedIn, entre outros.
Wang Jing, um Ph.D. estudante da Universidade Tecnológica de Nanyang, em Cingapura, descobriu que a vulnerabilidade grave falha "Covert Redirect" pode passar por um pop-up login com base no domínio de um site afetado. Encoberta de redirecionamento é baseada em um parâmetro bem conhecido explorar.
Por exemplo, alguém clicar em um link malicioso phishing vai ter uma janela pop-up no Facebook, pedindo-lhes para autorizar o aplicativo. Em vez de usar um nome de domínio falso que é semelhante para enganar os usuários, a falha Covert Redirect usa o endereço do site real para autenticação.
Se um usuário optar por autorizar o login, dados pessoais (dependendo do que está sendo solicitado) será lançado para o atacante em vez de para o site legítimo. Isto pode variar de endereços de e-mail, datas de nascimento, listas de contatos e, possivelmente, até mesmo o controle da conta.
Independentemente de saber se a vítima opta por autorizar o aplicativo, ele ou ela irá então ser redirecionado para um site de escolha do atacante, o que poderia comprometer ainda mais a vítima.
Wang diz que já entrou em contato com o Facebook e relatou a falha, mas foi informado de que a empresa "entendeu os riscos associados com OAuth 2.0," e que "curto de forçar cada candidatura na plataforma para usar uma whitelist," corrigir esse bug era "algo que não pode ser resolvido a curto prazo."
Facebook não é o único local afetado. Wang diz que ele relatou isso para o Google, LinkedIn, e Microsoft, que lhe deu várias respostas sobre como eles iriam lidar com o assunto.
Google (que usa OpenID) disse-lhe que o problema estava sendo monitorado, enquanto o LinkedIn disse que a empresa publicou um blog sobre o assunto. Microsoft, por outro lado, segundo uma investigação tinha sido feito e que existia a vulnerabilidade no domínio de um terceiro, e não nas suas próprias instalações.
"Corrigindo esta vulnerabilidade é mais fácil dizer do que fazer. Se todos os aplicativos de terceiros aderir estritamente ao uso de uma whitelist, então não haveria espaço para os ataques", disse Wang.
"No entanto, no mundo real, um grande número de aplicativos de terceiros, não faça isso, devido a várias razões. Isso faz com que os sistemas baseados em OAuth 2.0 ou OpenID altamente vulneráveis", acrescentou.
Engenheiro LinkedIn Shikha Sehgal escreveu um post no blog sobre a criação de uma lista branca para o local mais de um mês antes de Wang publicou suas descobertas.
"A fim de tornar a plataforma LinkedIn ainda mais seguro, e para que possamos cumprir com as especificações do OAuth 2 de segurança, estamos pedindo aqueles que usam OAuth 2 a registrar redirecionar URLs da sua aplicação com a gente até 11 de Abril de 2014" , ela disse.
Sehgal não disse explicitamente que a medida foi em resposta a uma falha no OAuth 2, mas a rede social não confirmou a CNET que a vulnerabilidade que Wang detalhado é o mesmo que inspirou o post do blog.
PayPal também abordou a falha.
"Quando PayPal implementado OAuth2.0/OpenID, nós da engenharia tomamos medidas adicionais de segurança para proteger os nossos comerciantes e clientes. Estas medidas proteger os clientes PayPal com essa vulnerabilidade OAuth2.0/OpenID específica", James Barrese, CTO do PayPal, disse em um post no blog sexta-feira . PayPal se recusou a acrescentar detalhes sobre essas medidas.
Jeremiah Grossman, fundador e CEO interino da WhiteHat Security, uma empresa de segurança website, concorda com os resultados de Wang depois de olhar para os dados.
"Embora eu não possa ser 100 por cento certo, eu podia jurar que vi um relato de um muito semelhante, se não idêntico em vulnerabilidade OAuth. Parece esta questão é essencialmente um WONTFIX conhecido", disse Grossman.
"Isso quer dizer, não é fácil de resolver, e das soluções eficazes teria um impacto negativo na experiência do usuário. Só mais um exemplo de que a segurança da Web é fundamentalmente quebrado e os poderes que têm pouco incentivo para resolver as falhas inerentes."
Além disso corroborando resultados de Wang é Chris Wysopal, CTO da programação de verificação de código empresa Veracode.
Wsyopal disse à CNET que parece ser uma "questão muito real" e que OAuth 2.0 parece vulnerável a ataques de phishing e redirecionar.
"Dado que os usuários de confiança postas em Facebook e outros prestadores de OAuth principais eu acho que vai ser fácil para os atacantes para enganar as pessoas para dar algum acesso às suas informações pessoais armazenadas nesses serviços", disse ele.
Usuários que desejam evitar qualquer perda de dados deve ter cuidado ao clicar em links que imediatamente pedir-lhe para fazer login no Facebook ou Google. Fechando a aba imediatamente deve evitar ataques de redirecionamento.
Enquanto esta questão não é tão grave como Heartbleed , é relativamente fácil de fazê-lo a menos que a falha é modificada, o que de acordo com Wang, é muito difícil de implementar devido à sites de terceiros que têm "pouco incentivo" para resolver o problema. O custo é um fator importante, assim como a visão de que a empresa de acolhimento (como o Facebook) tem a responsabilidade de fazer os ataques parecem mais credível.
Fonte: CNET
0 comentários for "Alerta: OpenID e OAuth estão com falhas de segurança."
Postar um comentário