एक अन्य Heartbleed?वेब सुरक्षा में पाया दोषों, Covert Redirect

Posted on by ITMATHFAN

एक अन्य Heartbleed?वेब सुरक्षा में पाया दोषों, Covert Redirect

इंटरनेट अब भी Heartbleed बग से जूझ रहा है, जबकि सुरक्षा प्रोटोकॉल OAuth 2.0 और OpenID में एक प्रमुख नए भेद्यता खोज की गई है.

stock-footage-computer-generated-background-with-moving-circles-binary-code-and-a-globe

सिंगापुर में नानयांग प्रौद्योगिकी विश्वविद्यालय की पीएचडी की छात्रा वांग जिंग हैकर्स उपयोगकर्ताओं को जानने के बिना प्रवेश जानकारी चोरी करने की कोशिश में फ़िशिंग तकनीक का उपयोग करने की अनुमति देता है कि एक बग देखा.

बग अनिवार्य रूप से साइबर अपराधी के बजाय डोमेन faking के अधिक आम रणनीति का एक फ़िशिंग पॉपअप सत्ता में असली वेबसाइट प्रमाणीकरण का उपयोग करने की अनुमति देता है.इस प्रक्रिया में, हैकर्स उपयोगकर्ता के लॉगिन क्रेडेंशियल प्राप्त होगा.

http://www.yac.mx/hi/pc-tech-tips/security/Another_Heartbleed_More_Flaws_Found_in_Web_Security.html

พบช่องโหว่ความปลอดภัยในระบบล็อกอิน OAuth และ OpenID เว็บใหญ่โดนกันถ้วนหน้า

Posted on by ITMATHFAN

พบช่องโหว่ความปลอดภัยในระบบล็อกอิน OAuth และ OpenID เว็บใหญ่โดนกันถ้วนหน้า

Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก

Web-Bot-2012

Jing เรียกช่องโหว่นี้ว่า “Covert Redirect” เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูกใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจากเว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้)

https://www.blognone.com/node/55954

Keep calm e fate attenzione: OpenID e OAuth sono vulnerabili

Posted on by ITMATHFAN

Keep calm e fate attenzione: OpenID e OAuth sono vulnerabili

Solo un paio di settimane dopo il preoccupante bug conosciuto come Heartbleed, un utente di Internet come me e voi ha scoperto una nuova e a quanto pare diffusa vulnerabilità, anche questa non facile da  risolvere. Si tratta del bug “Covert redirection”, scoperto di recente da Wang Jing, uno dottorando in matematica presso la Nanyang Technological University di Singapore. Il problema è stato riscontrato all’interno dei popolari protocolli Internet OpenID e OAuth. Il primo protocollo viene utilizzato quando si cerca di accedere a un sito web usando le credeziali già create per i servizi di Google, Facebook o LinkedIn. Il secondo viene utilizzato quando si autorizza un sito web, una app o alcuni servizi con Facebook, Google +, ecc… senza rivelare di fatto la password e le credenziali a siti esterni. Questi due metodi vengono spesso usati insieme e, a quanto pare, potrebbero permettere ai cybercriminali di mettere mano sulle informazioni degli utenti.

Unified Communications, Globus, Stecker, Telefon

La minaccia

Su Threatpost sono disponibili maggiori informazioni tecniche sul bug e un link alla ricerca originale, in inglese. Ma andiamo la sodo e osserviamo come funziona un possibile attacco e quali sarebbero le sue conseguenze. In primo luogo, affinché si verifichi il problema, un utente dovrebbe visitare un sito di phishing dannoso dotato del tipico “Accedi con Facebook”. Il sito potrebbe assomigliare del tutto a un servizio popolare esterno, fingendosi e proponendosi come un nuovo servizio. Poi il vero Facebook, Google +  o LinkedIn lancia una popup che invita l’utente a inserire le credenziali di login e la password per autorizzare i servizi appena menzionati (e in teoria “rispettabili”) e permettere all’utente di accedere. Nell’ultima fase, l’autorizzazione a usare il profilo viene inviata a un sito diverso (di phishing), “redirezionando” le informazioni in forma impropria.

http://blog.kaspersky.it/facebook-openid-oauth-vulnerabili/3639/

Сингапурский студент обнаружил серьезную уязвимость в OAuth и OpenID

Posted on by ITMATHFAN

OAuth и OpenID — очень популярные протоколы, которые совместно используются для авторизации и аутентификации. Приложение OAuth генерирует токены для клиентов, а OpenID предоставляет возможность децентрализованной аутентификации на сторонних сайтах, раскрывая персональные данные пользователей.


Студент Ван Цзин (Wang Jing) с факультета математики Наньянского технологического университета в Сингапуре нашел способ, как злоумышленник может перехватить персональные данные пользователей, перенаправив их на вредоносный сайт после авторизации. Речь идет об уязвимости типа скрытого редиректа (covert redirect), по аналогии с известной атакой open redirect.



covert_redirect1



В этом случае провайдер (Facebook, Google и проч.) видит, что информацию запрашивает нормальное приложение, но на самом деле пользователя скрыто направляют на другой сайт, заменив значение redirect_uri в URL.



covert_redirect2



Уязвимость затрагивает множество крупных сайтов, такие как Facebook, Google, Yahoo, LinkedIn, Microsoft, VK, Mail.Ru, PayPal, GitHub и другие. Все они выдают по запросу злоумышленника персональные данные пользователя. В случае Facebook это может быть имя, фамилия, почтовый адрес, возраст, место жительства, место работы и проч.




covert_redirect3



Кстати, open redirect входит в число 10 главных атак за 2013 год по версии OWASP.


Ван Цзин опубликовал видеоролик, в котором показывает способ эксплуатации уязвимости, на примере Facebook OAuth 2.0. По его словам, защититься от таких атак можно только с помощью «белого списка» сайтов для редиректа.


источник:
http://xakep.ru/62448/




 

 

Une faille dans l’intégration d’OAuth 2.0 et OpenID touche les acteurs du web

Posted on by ITMATHFAN
Un chercheur a trouvé une faille dans les spécifications des protocoles de sécurité OAuth 2.0 et OpenID qui affecte les grands acteurs du web. Les spécialistes écartent un parallèle avec la faille Heartbleed.



Facebook Hacker received reward for Remote code execution vulnerability


Depuis la découverte de la faille Heartbleed, le monde du web se penche sur la fiabilité et la sécurisation de certaines solutions Open Source, notamment dans le domaine de la sécurité des communications. Dans la loi des séries, un chercheur vient de découvrir une vulnérabilité dans la mise en place de deux protocoles d’authentification OAuth 2.0 et OpenID, utilisés par de nombreux acteurs du web. Ces deux protocoles permettent l’authentification d’un site web utilisant l’API sécurisée d’une autre application ou via des vérifications de jeton sur un serveur. Ainsi, l’utilisateur peut depuis son compte Facebook avoir accès à des services d’autres sites web sans avoir besoin de s’identifier à nouveau.


Récupérer des informations sensibles:
Wang Jing, doctorant l’Université technologique de Nanyang à Singapour, explique dans une page web que cette faille touche plusieurs grands sites comme Facebook, Google, Linkedin ou Microsoft (principalement la plateforme Live). La vulnérabilité facilite une attaque connue sous le nom « Covert ReDirect » (redirection secrète) qui donne son nom à la faille découverte. L’objectif est d’orienter l’utilisateur vers un site malveillant et de lui présenter une fenêtre avec un module d’authentification ressemblant aux sites connus (Facebook, Linkedin, etc.) pour récupérer ses identifiants et ensuite s’en servir sur d’autres sites. Wang Jing explique qu’ OAuth et OpenID ne parviennent pas à vérifier correctement les URL. « En donnant une autorisation avec d’importants privilèges, l’attaquant peut obtenir des informations plus sensibles comme les messages de la boîte mail, la liste de contacts et leur présence en ligne et même gérer le compte», constate l’universitaire chinois.

 

Une solution : la liste blanche

Il indique dans son blog avoir trouvé la vulnérabilité en février dernier avant de la signaler aux différents acteurs. Il admet que le travail sur un patch « est plus facile à dire qu’à faire ». Pour autant, il existe une solution avec la mise en place d’une liste blanche où des sites tiers doivent s’enregistrer s’ils veulent que les utilisateurs puissent interagir avec leurs API. Cette solution a été intégrée par Linkedin. Pour les autres sites sollicités par Wang Jing, Google lui a indiqué qu’il enquêtait sur le problème. Microsoft a identifié ce problème sur un site tiers. Yahoo n’a pour l’instant pas répondu à la notification du chercheur chinois.

 
 
 

Articles Liés:




 

Falha de segurança afeta logins de Facebook, Google e Microsoft

Posted on by ITMATHFAN

covert_redirect3

Um estudante de PHD de Singapura, Wang Jing, identificou a falha, chamada de “Covert Redirect”, que consegue usar domínios reais de sites para verificação de páginas de login falsas, enganando os internautas.

 

Os cibercriminosos podem criar links maliciosos para abrir janelas pop-up do Facebook pedindo que o tal aplicativo seja autorizado. Caso seja realizada esta sincronização, os dados pessoais dos usuários serão passados para os hackers.

 

Wang afirma que já entrou em contato com o Facebook, porém recebeu uma resposta de que “entende os riscos de estar associado ao OAuth 2.0″ e que corrigir a falha “é algo que não pode ser feito por enquanto”.

 

O Google afirmou que o problema está sendo rastreado, o LinkedIn publicou nota em que garante que já tomou medidas para evitar que a falha seja explorada, e a Microsoft negou que houvesse vulnerabilidade em suas páginas, apenas nas de terceiros.

 

A recomendação do descobridor da falha para os internautas é que evitem fazer o login com dados de confirmação de Facebook, Google ou qualquer outro serviço sem terem total certeza de que estão em um ambiente seguro.

 

 

Especialistas: erro é difícil de corrigir

O site CNET ouviu dois especialistas em segurança virtual sobre o assunto. Segundo Jeremiah Grossman, fundador e CEO interino da WhiteHat Security, afirma que a falha “não é fácil de corrigir”. Segundo Chris Wysopal, diretor da Veracode, a falha pode enganar muita gente.

 

“A confiança que os usuários dão ao Facebook e outros serviços que usam OAuth pode tornar mais fácil para os hackers enganarem as pessoas para que elas acabem dando suas informações pessoais a ele”, afirma Wsyopal.

 

 

 

notícias relacionadas:

Continúan los problemas: OAuth y OpenID también son vulnerables

Posted on by ITMATHFAN

Un nuevo fallo de seguridad amenaza Internet. En este caso se trata de Covert Redirect y ha sido descubierto por un estudiante chino en Singapur. Las empresas tienen en sus manos solucionar este problema.

 

encrypt

 

Cuando aún resuenan los ecos de Heartbleed y el terremoto que sacudió la red, nos acabamos de enterar que otra brecha de seguridad compromete Internet. En este caso se trata de un fallo que afecta a páginas como Google, Facebook, Microsoft, Linkedin, Yahoo, PayPal, GitHub o Mail.ru que usan estas herramientas de código abierto para autenticar a sus usuarios.

 

Este error permitiría a un atacante haga creer a un usuario que una nueva ventana que redirija a Facebook es segura cuando en realidad no lo es. Hasta aquí la técnica se parece al phishing pero lo que hace lo hace diferente es que Covert Redirect, que así se llama el nuevo exploit, usa el dominio real pero hace un bypass del servidor para conseguir la info. Lo mejor que podemos hacer cuando estemos navegando y pulsemos en un sitio que abre un pop up que nos pide logearnos en Facebook o Google es cerrar esa ventana para evitar que nos redirija a sitios sospechosos.

 

Wang Jing, estudiante de doctorado en la Universidad Técnica de Nanyang (Singapur), es quien ha descubierto la vulnerabilidad y le ha puesto nombre. El problema, según Jing, es que ni el proveedor ni la compañía quieren responsabilizarse de esta brecha ya que costaría mucho tiempo y dinero. Seguramente, ahora que se conoce el caso, las compañías se pondrán manos a la obra.

 

 

 

Artículos Relacionados: