Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID

[nnn]

Λίγο καιρό μετά την ανακάλυψη του Heartbleed bug στο OpenSSL, ο διδακτορικός φοιτητής του Nanyang Technological University
στην Σινγκαπούρη, Wang Jing, εντόπισε κενό στα OAuth 2.0 και OpenID, που είναι τα ανοικτού κώδικα εργαλεία που χρησιμοποιούνται στο login από sites σαν τα Google, Facebook και LinkedIn, που μπορεί να εκθέσει τα δεδομένα του χρήστη σε κίνδυνο.

Το νέο κενό καλείται Covert Redirect flaw και αφήνει ανοικτή την δυνατότητα σε επιτιθέμενους να κλέψουν τα στοιχεία σύνδεσης χρησιμοποιώντας οπτικά γνωστό login prompt.

If a user chooses to authorize the login, personal data (depending on what is being asked for) will be released to the attacker instead of to the legitimate website. This can range from email addresses, birth dates, contact lists, and possibly even control of the account.

Με απλά λόγια ο χρήστης μπορεί να πέσει θύμα phishing χρησιμοποιώντας αληθινό sign in tab, και το σημαντικό πρόβλημα είναι πως η επίλυση του δεν είναι απλή και εύκολη αφού θα πρέπει όλα τα ενδιάμεσα sites και εφαρμογές να χρησιμοποιήσουν whitelists.

Wang says he has already contacted Facebook and has reported the flaw, but was told that the company "understood the risks associated with OAuth 2.0," and that "short of forcing every single application on the platform to use a whitelist," fixing this bug was "something that can't be accomplished in the short term."

Facebook isn't the only site affected. Wang says he has reported this to Google, LinkedIn, and Microsoft, which gave him various responses on how they would handle the matter.

Google (which uses OpenID) told him that the problem was being tracked, while LinkedIn said that the company has published a blog on the matter. Microsoft, on the other hand, said an investigation had been done and that the vulnerability existed on the domain of a third party and not on its own sites.

"Patching this vulnerability is easier said than done. If all the third-party applications strictly adhere to using a whitelist, then there would be no room for attacks," said Wang.

"However, in the real world, a large number of third-party applications do not do this due to various reasons. This makes the systems based on OAuth 2.0 or OpenID highly vulnerable," he added.

LinkedIn engineer Shikha Sehgal wrote a blog post about the creation of a whitelist for the site more than a month before Wang published his findings.

"In order to make the LinkedIn platform even more secure, and so we can comply with the security specifications of OAuth 2, we are asking those of you who use OAuth 2 to register your application's redirect URLs with us by April 11, 2014," she said.

Sehgal did not explicitly say that the measure was in response to a flaw in OAuth 2, but the social network did confirm to CNET that the vulnerability that Wang detailed is the same one that inspired the blog post.

PayPal also has addressed the flaw.

"When PayPal implemented OAuth2.0/OpenID, we engineered additional security measures to protect our merchants and customers. These measures protect PayPal customers from this specific OAuth2.0/OpenID vulnerability," James Barrese, PayPal's CTO, said in a blog post on Friday. PayPal declined to add details about those measures.

Πηγή : Cnet

[Φιλόσοφος_Στ@ρχίδας]

Ένα παράδειγμα εδώ:

[raspoutiv]

ωραίες απαντήσεις έλαβε, ειδικά από M$ και Facebook...

ας βγούνε πάλι όσοι περιμένουν τη συνεισφορά τους σε θέματα ασφαλείας, όπως του openssl, να τους υπερασπιστούν

[purpleaura]

ωραίες απαντήσεις έλαβε, ειδικά από M$ και Facebook...

ας βγούνε πάλι όσοι περιμένουν τη συνεισφορά τους σε θέματα ασφαλείας, όπως του openssl, να τους υπερασπιστούν

Πολύ σοβαρό επιχείρημα έχεις. Τελικά αυτές οι δύο εταιρείες είναι όργανα του Βελζεβούλ . Απλά καταλάβετε ότι καταντάτε γραφικοί με τις ιδεοληψίες σας.

[8anos]

Ένα παράδειγμα εδώ:

αν καταλαβαίνω σωστά ουσιαστικά το ιδιο url που δημιουργείται οταν κάνεις εισοδο σε μια υπηρεσία μπορεί να χρησιμοποιηθεί για να κάνεις είσοδο σε άλλη με τα ιδια στοιχεία, οπως δείχνει το βιντεο απο το live.com στο google.com.
Δηλαδή εαν εχω μια ιστοσελιδα στην οποια ζητάω login me OAuth 2.0 και OpenID, μπορώ να καταγράψω αυτα τα urls και να τα χρησιμοποιήσω κατα το δοκούν;
αν ναι θα πρέπει να κοψουν τη χρηση OAuth 2.0 και OpenID μεχρι να το διορθωσουν

[minas]

Η χαρακτηριστική διαφορά από το Heartbleed είναι ότι αυτή η ευπάθεια δεν βασίζεται σε σφάλμα του κώδικα, αλλά είναι ριζωμένη στον τρόπο λειτουργίας του προτύπου. Μπορεί να εξαλειφθεί εύκολα με whitelists, αλλά δεν είναι καθόλου πρακτικό για όσους συνεργάζονται με πολλές 3rd party εφαρμογές.

[8anos]

ναι αλλα, αν καταλαβαίνω σωστά, ουσιαστικά εναπόκεινται στην καλή θέληση αυτου που ειναι στη λευκή λίστα να μην κανει κακή χρήση της αδυναμιας του προτύπου, ετσι δεν ειναι;

[raspoutiv]

Πολύ σοβαρό επιχείρημα έχεις. Τελικά αυτές οι δύο εταιρείες είναι όργανα του Βελζεβούλ . Απλά καταλάβετε ότι καταντάτε γραφικοί με τις ιδεοληψίες σας.

πραγματικά βρίθει από επιχειρήματα κάθε σου μήνυμα και δε χρειάζεται να παραθέσει κανένας άλλος
μπορείς να συνεχίσεις να αβαντάρεις τις αγαπημένες σου εταιρίες λοιπόν, ακόμα κι όταν δηλώνουν πως δεν τις νοιάζει η ασφάλειά σου

[minas]

ναι αλλα, αν καταλαβαίνω σωστά, ουσιαστικά εναπόκεινται στην καλή θέληση αυτου που ειναι στη λευκή λίστα να μην κανει κακή χρήση της αδυναμιας του προτύπου, ετσι δεν ειναι;

Πάντα αυτός που επιβεβαιώνει την ταυτότητα (ο αρχικός πάροχος) εναπόκειται στην καλή θέληση του τρίτου μέρους (συνεργαζόμενη εφαρμογή/site) να την αξιοποιήσει ευσυνείδητα. Με χρήση whitelists εξασφαλίζεις ότι δεν θα μεταβιβάσει την ταυτοποίηση και σε κάποιον που ο αρχικός πάροχος δεν γνωρίζει/εγκρίνει.

[tsigarid]

Όσοι τη γλίτωσαν λοιπόν από το heartbleed, μαζεύονται εδώ. Καλύτερα bug παρά feature...

[eyw]

Αμάν, ζαλίστηκα με τα κενά και τα vulnerabilities. Αύριο τι θα αποκαλυφθει ή ανακαλυφθει? οτι το PGP έσπασε ή ότι έχει 10 front doors?
Πάντως όταν και οι καλοί (open-something) τρώνε γκολ τότε τα πράγματα δεν είναι καλά.

Computers=εξαρτήματα του σατανά.
Εχω ένα Sinclair ZX Spectrum, είναι ασφαλές?

[aiolos.01]

Ε καιρό ασχοληθήκαμε με το heartbleed έπρεπε να βρεθεί κάτι καινούργιο.

ωραίες απαντήσεις έλαβε, ειδικά από M$ και Facebook...

ας βγούνε πάλι όσοι περιμένουν τη συνεισφορά τους σε θέματα ασφαλείας, όπως του openssl, να τους υπερασπιστούν

Μην ανησυχείς, θα βγεί το openBSD να κάνει κανα fork πάλι να τους σώσει (NOT).

[dchatz]

Δεν κατάλαβα ρε παιδιά. Μου έμεινε κανένας κωδικός που να τον ξέρω μόνο εγώ ή τα έχουν μάθει όλα πια.
Βαρέθηκα, αν δε μου πάρουν τα λεφτά θα τους τα δώσω μόνος στο τέλος να ησυχάσω.

[Tzitziloni]

αν καταλαβαίνω σωστά ουσιαστικά το ιδιο url που δημιουργείται οταν κάνεις εισοδο σε μια υπηρεσία μπορεί να χρησιμοποιηθεί για να κάνεις είσοδο σε άλλη με τα ιδια στοιχεία, οπως δείχνει το βιντεο απο το live.com στο google.com.
Δηλαδή εαν εχω μια ιστοσελιδα στην οποια ζητάω login me OAuth 2.0 και OpenID, μπορώ να καταγράψω αυτα τα urls και να τα χρησιμοποιήσω κατα το δοκούν;
αν ναι θα πρέπει να κοψουν τη χρηση OAuth 2.0 και OpenID μεχρι να το διορθωσουν

οχι μονο να τα κοψουν αλλά να εξηγήσουν ακριβώς πως στο @#$% ένα τόσο απλοϊκά φτιαγμένο "πράγμα" έχει γίνει δημοφιλές και αποδεκτό και χρησιμοποιείται ευρύτατα.

έψαξα λίγο περισσότερο γιατί δεν μπορούσα να πιστέψω οτι η ίδια η προδιαγραφή είναι τόσο απλοϊκή:

These flaws have been well documented. There is no systematic flaw caused by OpenID or OAuth. This is not a general open source problem or even a standards problem. As I mentioned earlier, this was discussed at length in the published OAuth Security considerations (RFC6749) and in the Threat Model (RFC6819).

The fact that some specific social networks providers have chosen not to properly secure their web sites by validating redirects is not based on a common fault. It is for the owners of these sites to take responsibility for their low-bar on security.

το quote απο τα σχόλια του αρχικού άρθρου.

[minas]

Μην ξεχνάτε ότι την τρίτη υπηρεσία στην οποία θέλετε να ταυτοποιηθείτε μέσω του παρόχου ταυτοποίησης την επιλέγετε οι ίδιοι (και άρα εσείς δηλώνετε την εμπιστοσύνη σας σε αυτή). Ο πάροχος ταυτοποίησης εξασφαλίζει τεχνικά τη διαδικασία ταυτοποίησης, δεν είναι υπεύθυνος για τη χρήση των δεδομένων από την τρίτη υπηρεσία.
Παράδειγμα: Χρησιμοποιείς το google account για να ταυτοποιηθείς στο http://eimai_anasfales.site .
Εάν δεν υπάρχει whitelist για redirects και το site αυτό θέλει να χρησιμοποιήσει το επιτυχές αποτέλεσμα ταυτοποίησης και στο http://ki_egw_anasfales.eimai , μπορεί να το κάνει.