Uusimmat

Vakava tietoturva-aukko suosittujen palveluiden OAuth- ja OpenID-kirjautumispalveluissa

02.05.2014 18:53 Petrus Laine

Avoimet OAuth 2.0- ja OpenID-standardit kärsivät vakavasta tietoturva-aukosta, raportoi Cnet. Kummatkin standardit ovat laajasti käytössä olevia, verkkopalveluihin turvallisesti kirjautumisen mahdollistavia standardeja. Covert Redirect:ksi ristityn haavoittuvuuden löysi Nanyang Technological University of Singaporessa professoriksi opiskeleva Wang Jing. Wangin mukaan ainakin Facebook, Google, Yahoo, LinkedIn, Microsoft, PayPal, QQ, Weibo, VK, GitHub, Taobao ja Mail.ru ovat alttiina aukolle. WhiteHat Securityn toimitusjohtaja Jeremiah Grossman ja Veracoden CTO (Chief Technology Officer) Chris Wysopal ovat tutkineet Wangin väitteet ja todenneet tietoturva-aukon olevan todellinen.

Covert Redirect -tietoturva-aukon hyödyntäminen edellytttää, että käyttäjä klikkaa phishing- eli kalastelulinkkiä. Linkkiä klikkaamalla sivusto avaa valitun palvelun kirjautumisikkunan, jossa käyttäjän tulee hyväksyä kirjautuminen palveluun. Useimmista kalastelulinkeistä poiketen, Covert Redirectin kanssa kirjautumisikkuna osaa kuitenkin naamioitua väitetyn palvelun osoitteita käyttäväksi, aidoksi kirjautumisikkunaksi.

Cnet käyttää esimerkissään Facebookkia. Kalastelulinkkiä klikattuaan hyökkäyksen uhri saa täysin aidolta vaikuttavan ponnahdusikkunan Facebookilta, joka pyytää käyttäjää antamaan Facebook-ohjelmalle luvan käyttäjän tietojen käyttöön. Mikäli käyttäjä antaa pyydetyn luvan, kaikki pyydetty henkilökohtainen data siirtyy kuitenkin hyökkääjälle eikä väitetylle Facebook-ohjelmalle. Riippumatta siitä antaako käyttäjä pyydettyä lupaa vai ei, siirtyy selain sen jälkeen hyökkääjän valitsemalle sivustolle.

Wang kertoo ottaneensa yhteyttä jo useisiin aukon vaivaamiin palveluihin. Facebook vastasi ymmärtävänsä OAuth 2.0:n riskit, mutta ongelman nopean korjaamisen olevan käytännössä mahdotonta. LinkedIn kertoi julkaisevansa asiasta blogi-viestin lähiaikoina ja Microsoft puolestaan kertoi tutkineensa asiaa ja todenneensa ongelman oleman kolmannen osapuolen verkkopalveluissa eikä yhtiön omilla sivuilla. OpenID:tä käyttävä Google vastasi puolestaan seuraavansa ongelmaa parhaillaan.

CNET, Serious security flaw in OAuth, OpenID discovered