Совсем недавно в криптографическом пакете OpenSSL была обнаружена критическая уязвимость, получившая название Heartbleed Bug. Теперь же снова выявлена проблема в популярном открытом ПО. На этот раз речь идет о средствах авторизации OAuth и OpenID, которые используются многими крупными сайтами и технологическими компаниями, среди них Google, Facebook, Microsoft, LinkedIn и др.
Ванг Джинг (Wang Jing) из Наньянского технологического университета в Сингапуре выявил уязвимость Covert Redirect. Она может проявляться в виде всплывающего окна с данными авторизации на домене пострадавшего сайта. Например, пользователь может кликнуть по вредоносной фишинговой ссылке, после чего появится всплывающее окно Facebook, в котором указан запрос на авторизацию для приложения. Причем, вместо поддельного домена со схожим написанием уязвимость Covert Redirect позволяет использовать реальный адрес сайта для аутентификации. Если при этом пользователь решит осуществить авторизацию, его персональные данные станут доступны хакеру, а не легитимному сайту. Объем передаваемых данных зависит от запроса и может включать адрес электронной почты, дату рождения, перечень контактов, а в некоторых случаях — полные данные для управления учетной записью. Независимо от того, решил пользователь авторизоваться или нет, в дальнейшем он будет перенаправлен на сайт злоумышленника, где может быть подвергнут дополнительным атакам.
Ванг Джинг уже уведомил компании Google, Facebook, Microsoft и LinkedIn о выявленной уязвимости. При этом в Facebook ответили, что осознают риски, связанные с OAuth 2.0, а также отметили нехватку ресурсов для проверки каждого приложения на платформе для создания белого списка. Кроме того, решение проблемы не может быть реализовано в краткосрочной перспективе. В Google ответили, что с проблемой разбираются, а в LinkedIn по этому поводу опубликовали запись в блоге. Microsoft сообщила, что специалисты провели расследование и выявили указанную уязвимость на сторонних сайтах, но не на своих ресурсах.
Источник: Cnet