OpenID y OAuth el nuevo fallo encontrado después de Heartbleed

De acuerdo con información publicada por Kaspersky Lab, a pocas semanas del perturbante descubrimiento de Heartbleed, la vulnerabilidad de OpenSSL, se dio a conocer el hallazgo de otra peligrosa falla que, según explican los expertos, no es tan sencilla de solucionar.

Se trata de un bug de “redirección encubierta”, cuya descripción fue publicada por Wang Jing, un estudiante de doctorado en Matemáticas en la Universidad Tecnológica de Nanyang, en Singapur.

Según detalló Jing, la falla se encuentra en los populares protocolos OpenID y OAuth. El primero de estos protocolos se utiliza al iniciar sesión en algún sitio web a través de las cuentas de redes sociales como Google, Facebook, LinkedIn, etc. El segundo, en cambio, entra en acción cuando se autoriza a los sitios, aplicaciones o servicios web a que accedan a los perfiles de Facebook, G+, etc. Ambos protocolos suelen utilizarse de forma conjunta y, raíz de este bug, podrían llevar información confidencial hacia las manos equivocadas.

Según explica Kaspersky Lab, para encontrarse en una situación de peligro, el usuario tendría que ingresar en un sitio web phishing; es decir, destinado a delincuencia cibernética. Estos sitios se hacen pasar por servicios web populares que, generalmente, cuentan con los típicos botones de “ingresa con tu cuenta de Facebook”. Si el usuario hace click en alguno de estos botones, una ventana emergente aparecerá y le solicitará que ingrese sus datos de acceso. Finalmente, debido al bug de redirección, la autorización para acceder al perfil del usuario es redirigida hacia el sitio phishing.

De esta manera, los cibercriminales reciben la autorización (OAuthtoken) para acceder a los perfiles de redes sociales de las víctimas con cualquiera de los permisos que las aplicaciones originales tenían. En el mejor de los casos, se trata sólo de información personal básica, pero, en algunas situaciones, esto podría permitirle a los delincuentes revisar los contactos de la víctima, enviar mensajes, etc.

Lo más probable es que esta amenaza no desaparezca en el corto plazo, dado que el fix que solucionaría este bug tendría que ser implementado tanto por el proveedor (Facebook, Google, LinkedIn, etc) como por el cliente (las aplicaciones o los servicios).

Además, el protocolo OAuth todavía se encuentra en fase beta y varios proveedores utilizan diferentes variaciones de este protocolo, lo cual altera las formas y las posibilidades de contrarrestar los posibles ataques. En este punto, LinkedIn se encuentra mejor posicionado en la puesta en marcha de una solución, ya que le exige a cada desarrollador de aplicaciones de terceros una “lista blanca” de todos los redireccionamientos que se realizan. Por lo tanto, todos los servicios y apps que utilizan la autorización de LinkedIn deben acatar esta medida de seguridad o no funcionarían.

El panorama es diferente para Facebook, dado que cuenta con una gran cantidad de aplicaciones y dispone de versiones mucho más viejas de OAuth. En este sentido, representantes de Facebook aseguran que “la exigencia de listas blancas no es algo que pueda concretarse en el corto plazo”.

Existen mucho otros proveedores que permanecen vulnerables como PayPal, Hotmail, Yahoo, entre otros, por lo tanto, si una persona inicia sesión en algún sitio por medio de alguna de estas cuentas, es necesario que tome las medidas de precaución adecuadas.

Fuentes: http://tetraph.com/covert_redirect/oauth2_openid_covert_redirect.html

Gus Terrera

Apasionado por el agile testing y la ia.

Deja una respuesta