Fallo en OAuth y OpenID

Luego del fallo de corazón sangrante o HeartBleed, nos llega un nuevo fallo grave, esta vez en las herramientas del proceso de login OAuth y OpenID las cuales son utilizadas por muchos grandes cómo: Google, Facebook, Microsoft, and LinkedIn, entre otros.

 

oauth

El estudiante de doctorado Wang Jing, del Instituto de Tecnologías Nanyang de Singapur descubrió esta seria vulnerabilidad de Redirección encubierta (Covert redirect) basado un parámetro de explotación muy conocido.

Por ejemplo, alguien realizando un click en un enlace de phishing será dirigido a un enlace o pop-up en Facebook preguntándole si desea aprobar el uso de esta aplicación. En lugar de usar un dominio falso usarán un sitio de real! Si el usuarioelige autorizar el login los datos serán enviados al atacante en lugar del sitio legítimo, estos datos varían entre: dirección de correo, lista de contactos, fecha de nacimiento y hasta datos de cuenta como contraseña.

Independientemente de la elección de la víctima en cuanto a la autorización de la app serán re-dirigidos al sitio web que el atacante escoge, por lo que podría exponer más aún al usuario.

Wang indicó que ya ha contactado a Facebook, Google, LinkedIn y Microsoft, quienes han respondido sobre las diferentes estrategias que utilizarán para minimizar el daño del fallo y buscar lo más pronto posible una solución.

openID

 

 

 

 

Fuente: http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/#ftag=CAD590a51e

(64)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *