Λίγο καιρό μετά την ανακάλυψη του Heartbleed bug στο OpenSSL, ο διδακτορικός φοιτητής του Nanyang Technological University
στην Σινγκαπούρη, Wang Jing, εντόπισε κενό στα OAuth 2.0 και OpenID, που είναι τα ανοικτού κώδικα εργαλεία που χρησιμοποιούνται στο login από sites σαν τα Google, Facebook και LinkedIn, που μπορεί να εκθέσει τα δεδομένα του χρήστη σε κίνδυνο.
Το νέο κενό καλείται Covert Redirect flaw και αφήνει ανοικτή την δυνατότητα σε επιτιθέμενους να κλέψουν τα στοιχεία σύνδεσης χρησιμοποιώντας οπτικά γνωστό login prompt.
If a user chooses to authorize the login, personal data (depending on what is being asked for) will be released to the attacker instead of to the legitimate website. This can range from email addresses, birth dates, contact lists, and possibly even control of the account.
Με απλά λόγια ο χρήστης μπορεί να πέσει θύμα phishing χρησιμοποιώντας αληθινό sign in tab, και το σημαντικό πρόβλημα είναι πως η επίλυση του δεν είναι απλή και εύκολη αφού θα πρέπει όλα τα ενδιάμεσα sites και εφαρμογές να χρησιμοποιήσουν whitelists.
Wang says he has already contacted Facebook and has reported the flaw, but was told that the company "understood the risks associated with OAuth 2.0," and that "short of forcing every single application on the platform to use a whitelist," fixing this bug was "something that can't be accomplished in the short term."
Facebook isn't the only site affected. Wang says he has reported this to Google, LinkedIn, and Microsoft, which gave him various responses on how they would handle the matter.
Google (which uses OpenID) told him that the problem was being tracked, while LinkedIn said that the company has published a blog on the matter. Microsoft, on the other hand, said an investigation had been done and that the vulnerability existed on the domain of a third party and not on its own sites.
"Patching this vulnerability is easier said than done. If all the third-party applications strictly adhere to using a whitelist, then there would be no room for attacks," said Wang.
"However, in the real world, a large number of third-party applications do not do this due to various reasons. This makes the systems based on OAuth 2.0 or OpenID highly vulnerable," he added.
LinkedIn engineer Shikha Sehgal wrote a blog post about the creation of a whitelist for the site more than a month before Wang published his findings.
"In order to make the LinkedIn platform even more secure, and so we can comply with the security specifications of OAuth 2, we are asking those of you who use OAuth 2 to register your application's redirect URLs with us by April 11, 2014," she said.
Sehgal did not explicitly say that the measure was in response to a flaw in OAuth 2, but the social network did confirm to CNET that the vulnerability that Wang detailed is the same one that inspired the blog post.
PayPal also has addressed the flaw.
"When PayPal implemented OAuth2.0/OpenID, we engineered additional security measures to protect our merchants and customers. These measures protect PayPal customers from this specific OAuth2.0/OpenID vulnerability," James Barrese, PayPal's CTO, said in a blog post on Friday. PayPal declined to add details about those measures.
Πηγή : Cnet
Εμφάνιση 1-15 από 19
-
04-05-14, 12:12 Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.783
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
04-05-14, 12:41 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #2
Ένα παράδειγμα εδώ:
You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
04-05-14, 12:55 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #3
ωραίες απαντήσεις έλαβε, ειδικά από M$ και Facebook...
ας βγούνε πάλι όσοι περιμένουν τη συνεισφορά τους σε θέματα ασφαλείας, όπως του openssl, να τους υπερασπιστούνΣεβασμός & Απειθαρχία
δεν αντέχετε το 50-50
δεν το αντέχετε
-
04-05-14, 13:59 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #4
-
04-05-14, 14:10 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #5
αν καταλαβαίνω σωστά ουσιαστικά το ιδιο url που δημιουργείται οταν κάνεις εισοδο σε μια υπηρεσία μπορεί να χρησιμοποιηθεί για να κάνεις είσοδο σε άλλη με τα ιδια στοιχεία, οπως δείχνει το βιντεο απο το live.com στο google.com.
Δηλαδή εαν εχω μια ιστοσελιδα στην οποια ζητάω login me OAuth 2.0 και OpenID, μπορώ να καταγράψω αυτα τα urls και να τα χρησιμοποιήσω κατα το δοκούν;
αν ναι θα πρέπει να κοψουν τη χρηση OAuth 2.0 και OpenID μεχρι να το διορθωσουν
-
04-05-14, 14:20 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #6
Η χαρακτηριστική διαφορά από το Heartbleed είναι ότι αυτή η ευπάθεια δεν βασίζεται σε σφάλμα του κώδικα, αλλά είναι ριζωμένη στον τρόπο λειτουργίας του προτύπου. Μπορεί να εξαλειφθεί εύκολα με whitelists, αλλά δεν είναι καθόλου πρακτικό για όσους συνεργάζονται με πολλές 3rd party εφαρμογές.
-
04-05-14, 14:31 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #7
ναι αλλα, αν καταλαβαίνω σωστά, ουσιαστικά εναπόκεινται στην καλή θέληση αυτου που ειναι στη λευκή λίστα να μην κανει κακή χρήση της αδυναμιας του προτύπου, ετσι δεν ειναι;
-
04-05-14, 14:55 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #8Σεβασμός & Απειθαρχία
δεν αντέχετε το 50-50
δεν το αντέχετε
-
04-05-14, 14:58 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #9
Πάντα αυτός που επιβεβαιώνει την ταυτότητα (ο αρχικός πάροχος) εναπόκειται στην καλή θέληση του τρίτου μέρους (συνεργαζόμενη εφαρμογή/site) να την αξιοποιήσει ευσυνείδητα. Με χρήση whitelists εξασφαλίζεις ότι δεν θα μεταβιβάσει την ταυτοποίηση και σε κάποιον που ο αρχικός πάροχος δεν γνωρίζει/εγκρίνει.
-
04-05-14, 21:32 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #10
Όσοι τη γλίτωσαν λοιπόν από το heartbleed, μαζεύονται εδώ. Καλύτερα bug παρά feature...
-
04-05-14, 23:39 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #11
Αμάν, ζαλίστηκα με τα κενά και τα vulnerabilities. Αύριο τι θα αποκαλυφθει ή ανακαλυφθει? οτι το PGP έσπασε ή ότι έχει 10 front doors?
Πάντως όταν και οι καλοί (open-something) τρώνε γκολ τότε τα πράγματα δεν είναι καλά.
Computers=εξαρτήματα του σατανά.
Εχω ένα Sinclair ZX Spectrum, είναι ασφαλές?
-
05-05-14, 03:22 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #12
-
05-05-14, 08:39 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #13
Δεν κατάλαβα ρε παιδιά. Μου έμεινε κανένας κωδικός που να τον ξέρω μόνο εγώ ή τα έχουν μάθει όλα πια.
Βαρέθηκα, αν δε μου πάρουν τα λεφτά θα τους τα δώσω μόνος στο τέλος να ησυχάσω.Portable CD player
-
05-05-14, 13:37 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #14
οχι μονο να τα κοψουν αλλά να εξηγήσουν ακριβώς πως στο @#$% ένα τόσο απλοϊκά φτιαγμένο "πράγμα" έχει γίνει δημοφιλές και αποδεκτό και χρησιμοποιείται ευρύτατα.
έψαξα λίγο περισσότερο γιατί δεν μπορούσα να πιστέψω οτι η ίδια η προδιαγραφή είναι τόσο απλοϊκή:
These flaws have been well documented. There is no systematic flaw caused by OpenID or OAuth. This is not a general open source problem or even a standards problem. As I mentioned earlier, this was discussed at length in the published OAuth Security considerations (RFC6749) and in the Threat Model (RFC6819).
The fact that some specific social networks providers have chosen not to properly secure their web sites by validating redirects is not based on a common fault. It is for the owners of these sites to take responsibility for their low-bar on security.
Τελευταία επεξεργασία από το μέλος Tzitziloni : 05-05-14 στις 13:47.
-
05-05-14, 15:04 Απάντηση: Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID #15
Μην ξεχνάτε ότι την τρίτη υπηρεσία στην οποία θέλετε να ταυτοποιηθείτε μέσω του παρόχου ταυτοποίησης την επιλέγετε οι ίδιοι (και άρα εσείς δηλώνετε την εμπιστοσύνη σας σε αυτή). Ο πάροχος ταυτοποίησης εξασφαλίζει τεχνικά τη διαδικασία ταυτοποίησης, δεν είναι υπεύθυνος για τη χρήση των δεδομένων από την τρίτη υπηρεσία.
Παράδειγμα: Χρησιμοποιείς το google account για να ταυτοποιηθείς στο http://eimai_anasfales.site .
Εάν δεν υπάρχει whitelist για redirects και το site αυτό θέλει να χρησιμοποιήσει το επιτυχές αποτέλεσμα ταυτοποίησης και στο http://ki_egw_anasfales.eimai , μπορεί να το κάνει.
Παρόμοια Θέματα
-
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04 -
Με έκτακτη αναβάθμιση που καλύπτει και τα Windows XP η Microsoft κλείνει το σοβαρό κενό ασφαλείας του Internet Explorer
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 38Τελευταίο Μήνυμα: 26-05-14, 23:44 -
Νέο κενό ασφαλείας σχετιζόμενο με την γεννήτρια τυχαίων αριθμών του Early Random PRNG εντοπίζεται στο iOS 7
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 26Τελευταίο Μήνυμα: 21-03-14, 12:32 -
USB 2.0 και USB 3.0
Από HugeG στο φόρουμ Hardware ΓενικάΜηνύματα: 4Τελευταίο Μήνυμα: 14-12-13, 03:53 -
Η Google κλείνει ένα πολύ σοβαρό κενό ασφαλείας του Gmail password recovery
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 19Τελευταίο Μήνυμα: 02-12-13, 16:52
Bookmarks