» » » В OAuth и OpenID обнаружена уязвимость

В OAuth и OpenID обнаружена уязвимость

Совсем недавно в криптографическом пакете OpenSSL была обнаружена критическая уязвимость, получившая название Heartbleed Bug. Теперь же снова выявлена проблема в популярном открытом ПО. На этот раз речь идет о средствах авторизации OAuth и OpenID, которые используются многими крупными сайтами и технологическими компаниями, среди них Google, Facebook, Microsoft, LinkedIn и др.
В OAuth и OpenID обнаружена уязвимость
 Ванг Джинг (Wang Jing) из Наньянского технологического университета в Сингапуре выявил уязвимость Covert Redirect. Она может проявляться в виде всплывающего окна с данными авторизации на домене пострадавшего сайта.
Например, пользователь может кликнуть по вредоносной фишинговой ссылке, после чего появится всплывающее окно Facebook, в котором указан запрос на авторизацию для приложения. Причем, вместо поддельного домена со схожим написанием уязвимость Covert Redirect позволяет использовать реальный адрес сайта для аутентификации. Если при этом пользователь решит осуществить авторизацию, его персональные данные станут доступны хакеру, а не легитимному сайту. Объем передаваемых данных зависит от запроса и может включать адрес электронной почты, дату рождения, перечень контактов, а в некоторых случаях – полные данные для управления учетной записью. Независимо от того, решил пользователь авторизоваться или нет, в дальнейшем он будет перенаправлен на сайт злоумышленника, где может быть подвергнут дополнительным атакам.

Ванг Джинг уже уведомил компании Google, Facebook, Microsoft и LinkedIn о выявленной уязвимости. При этом в Facebook ответили, что осознают риски, связанные с OAuth 2.0, а также отметили нехватку ресурсов для проверки каждого приложения на платформе для создания белого списка. Кроме того, решение проблемы не может быть реализовано в краткосрочной перспективе. В Google ответили, что с проблемой разбираются, а в LinkedIn по этому поводу опубликовали запись в блоге. Microsoft сообщила, что специалисты провели расследование и выявили указанную уязвимость на сторонних сайтах, но не на своих ресурсах.
 
Спонсором новости выступает известная биржа удаленной работы — поиск профессиональных исполнителей в Интернете http://www.weblancer.net/ Работа в Интернете — наиболее популярная разновидность фриланса.  Удаленная работа и заказы для дизайнеров, программистов, верстальщиков, оптимизаторов, переводчиков, копирайтеров и многих других. Сервис Weblancer.net, ставший одним из первых подобных ресурсов, сегодня остается лидером данного сегмента, обеспечивая заказами тысячи исполнителей.
Ключевые теги: OpenID, OAuth





Добавить комментарий

КОММЕНТАРИИ

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Быстрый вход: 

ВОЗМОЖНО ВАС ЭТО ЗАИНТЕРЕСУЕТ

Информация
Комментировать статьи на сайте возможно только в течении 90 дней со дня публикации.