FALLO DE SEGURIDAD EXTREMO EN PLATAFORMAS DE AUTENTIFICACION BASADOS EN OAuth y OpenID.

FALLO DE SEGURIDAD EXTREMO EN PLATAFORMAS DE AUTENTIFICACION BASADOS EN

 

Que quedara para el resto de internet?

Facebook. Google .Linkedin, Yahoo  Microsoft entre los más afectados..¡¡¡¡

 

Después del error de programación de Heartbleed, un defecto de seguridad en el software de fuente abierta extensamente usado OpenSSL que pone sitios web innumerables en peligro, otra vulnerabilidad ha sido encontrada en el software de autenticación popular OpenID y software de autorización OAuth.

 

Wang Jing, un grado de Doctor de matemáticas chino. D estudiante en la universidad Tecnológica Nanyang en Singapur, encontrado que el OAuth y OpenID instrumentos de entrada al sistema de la fuente abiertos son vulnerables al “Cobijo Desvían” la proeza.

 

Los instrumentos de entrada al sistema ‘OAuth’ y protocolos ‘de OpenID’ son el estándar abierto comúnmente usado para la autorización. OAuth diseñó como un modo para usuarios de firmar en o contratarse para otros servicios usando una identidad existente de un sitio, como Google, Facebook, Microsoft o Gorjeo, mientras que OpenID es un sistema de autenticación descentralizado para Internet que permite que usuarios entren al sistema en sitios web a través de Internet con misma identidad digital.

El Cobijo Desvía la vulnerabilidad podría afectar a aquellos que usan ‘OAuth’ y protocolos ‘de OpenID’ a ‘la entrada al sistema’ a los sitios web, como Facebook, Google, Yahoo, LinkedIn, Microsoft, VK, Mail.Ru, PayPal, GitHub y muchos otros.

 

¿QUÉ LO HACE AÚN MÁS PELIGROSO?

El “Cobijo Desvía” la mascarada de defecto como una entrada al sistema popup de los sitios afectados que podrían permitir que un atacante robara datos personales de usuarios y los desviara a un sitio web de la opción del atacante, que podría comprometer adelante potencialmente a la víctima.

 

Haciendo clic en una relación de phishing malévola conseguirá una ventana popup en Facebook, pidiéndoles autorizar el app y gastar una broma al usuario en dejar su información en cambio sobre sitios web legítimos, el Cobijo Desvían los usos de defecto la verdadera dirección de sitio para la autenticación.

 

Una vez la entrada al sistema de usuario, el atacante podría conseguir los datos personales, que en caso de Facebook, podría incluir la dirección de correo electrónico, fecha de nacimiento, contactos, historia de trabajo, etc.

 

En una entrada de bitácora ayer Jing explicó, para OAuth 2.0, los ataques podrían arriesgar “la señal” de los usuarios de sitio y siempre que los usuarios autoricen la entrada al sistema el atacante podría usar entonces esto para la información privada de los usuarios de acceso. En caso de OpenID, el atacante podría conseguir la información de los usuarios directamente, ya que es inmediatamente transferido del abastecedor a la solicitud.

 

Sin embargo, esto no es la primera vez que la cuestión ha sido levantada y la causa primordial es una carencia de la señal whitelisting en OAuth 2.0.

open

RESPUESTA DE GIGANTES DE INTERNET

Facebook usa OAuth y algo similar a OpenID. Cuando él relató Facebook sobre la vulnerabilidad, Facebook dijo que “ellos entienden los riesgos asociados con OAuth 2.0. Sin embargo, salvo obligar cada sola aplicación en la plataforma a usar un whitelist, [la fijación de la vulnerabilidad] no es algo que puede ser llevado a cabo a corto plazo.”

 

Facebook no es el único sitio afectado, Jing relató la vulnerabilidad a algunas compañías más que usan tanto OAuth como OpenID incluso Google, LinkedIn, Microsoft y Yahoo para hablar del problema.

 

Google usa OpenID y dijo a Jing, “ellos son conscientes del problema y lo rastrean en este momento,” mientras que LinkedIn dijo que ellos han reconocido que el problema atrás en marzo y “publicó una entrada de bitácora en como [ellos] tienen la intención de dirigirse [al problema].”

 

Microsoft contestó después de que ellos investigaron el asunto y concluyeron que la vulnerabilidad existe en la esfera de un tercero que es diferente del que que Jing relató y le recomendó por relatar la cuestión al tercero en cambio.

 

Yahoo no contestó meses después de que él hizo un informe.

 

“Ellos tienen poco incentivo para fijar el problema,” escribió Jing en cuanto a las compañías, “Una preocupación es el coste y el otro es que en su opinión, la compañía de anfitrión es responsable de hacer los ataques parecer más creíbles; por lo tanto, no es únicamente su problema.”

 

COMO FIJAR ENCUBIERTO DESVÍAN VULNERABILIDAD

Según Jing, no hay ningún apuro rápido para la vulnerabilidad. “En el mundo real, un gran número de aplicaciones de tercero no hace esto debido a varios motivos. Esto hace los sistemas basados en OAuth 2.0 u OpenID muy vulnerable,” escribió Jing.

 

Wang cree que es improbable que este defecto sea remendado dentro de poco. Él no dice ni las compañías de autenticación, como Google, Microsoft, Facebook, ni las compañías de cliente toman la responsabilidad de fijar la cuestión.

 

Sin embargo, para aprovechar el Encubierto desvían la vulnerabilidad, esto requiere la interacción de usuarios es decir la Víctima tiene que hacer clic en una relación o visitar un sitio web malévolo, y luego ellos tienen que hacer clic en un botón de entrada al sistema de Facebook y consentir en autorizar la entrada al sistema y la liberación de la información.

 

Hasta ahora, los expertos de seguridad no han puesto etiqueta a esta vulnerabilidad como un defecto de seguridad principal como Heartbleed, pero de todos modos es una amenaza.

 

 

Pero, si por si “la señal” tenga el mayor privilegio, el atacante podría obtener la información más sensible incluso la caja, los amigos ponen en una lista, presencia en línea y el más posiblemente hasta hacen funcionar y controlan la cuenta del usuario.

La vulnerabilidad fue encontrada por WANG Jing, Un estudiante de PhD en matemáticas de la universidad Tecnológica Nanyang.

 

http://www.youtube.com/watch?v=HUE8VbbwUms&feature=player_embedded

Leave a Comment