Grave fallo de seguridad en sistemas de inicio de sesión OAuth y OpenID
Enviado por csirtutpl el Vie, 05/02/2014 - 19:34
Después del grave fallo de seguridad en OpenSSL, ahora ha aparecido un grave fallo de seguridad en las herramientas de inicio de sesión OAuth y OpenID que son usadas por múltiples páginas web como Google, Facebook, Microsoft y LinkedIn entre otros muchos.
Un estudiante de la Universidad de Singapur descubrió la vulnerabilidad llamada “Covert Redirect” que podría hacerse pasar por un inicio de sesión emergente en un dominio comprometido.
OAuth es un protocolo de autorización que permite a terceros acceder a contenidos propiedad de un usuario sin que éstos tengan que manejar ni conocer las credenciales del usuario. Es decir, aplicaciones de terceros pueden acceder a contenidos propiedad del usuario, pero estas aplicaciones no conocen los credenciales de autenticación.
Las consecuencias de este fallo de seguridad son que si un usuario decide iniciar sesión en un sitio, los datos personales se enviarán al atacante en lugar de al sitio web légitimo, por tanto se podrían hacer con una gran cantidad de datos del usuario (varía en función de lo que se le está pidiendo). Independientemente de si la víctima decide autorizar la aplicación, se le redireccionará al sitio web del atacante lo que podría comprometer aún más a una posible víctima.
El estudiante ha contactado con Facebook para informar de este fallo, la empresa le ha comentado que entiende los riesgos sobre OAuth 2.0 pero que la solución a este problema no se puede realizar en un corto periodo de tiempo. Asímismo también ha contactado con Google, LinkedIn y Microsoft ya que sus sitios también están afectados. Google usa OpenID y ha comentado que están realizando un seguimiento del problema, LinkedIn por su parte ha dicho que pronto publicará en su blog sobre este fallo.
Actualmente la manera más fácil de parchear este problema es que las aplicaciones de terceros se adhieran a una lista blanca, así no se podrían atacar. Solucionarlo de raíz no es fácil a priori ya que podría impactar negativamente en la experiencia de usuario.
Mientras tanto, lo mejor para no poner nuestros datos en peligro es salir de cualquier ventana emergente que nos pida hacer un click para loguearnos con la cuenta de Facebook o Google.
Recomendamos visitar este
artículo sobre OAuth2 y cómo funciona este sistema.MAS: Heartbleed
Servicios: