Denuncian fallos de seguridad en OpenID y OAuth

Wang Jing, estudiante de matemática de posgrado en la Nanyang Technological University, ha encontrado una vulnerabilidad grave conocida como “Covert Redirect” relacionada con OAuth 2.0 y OpenID. OAuth 2.0 y OpenID son utilizados por importantes proveedores de servicios de internet como Facebook, Google , Yahoo , LinkedIn, Microsoft , Paypal, GitHub , QQ , Taobao , Weibo , VK , Mail.Ru , Sohu , etc y podría permitir ataques tanto a los proveedores como a los clientes.

En el caso de OAuth 2.0 , estos ataques pueden poner en peligro ” el token ” (identificador criptográfico) de los usuarios del sitio , que podría ser utilizado para acceder a la información de usuario . En el caso de Facebook , la información podría incluir datos básicos , como la dirección de correo electrónico , edad, localidad , historial de trabajo, etc Si el usuario da su consentimiento, el atacante podría obtener información más sensible , tales como acceso a la bandeja de entrada, lista de amigos y estado en línea , e incluso operar la cuenta en nombre del usuario.

En OpenID , los atacantes pueden obtener información del usuario directamente.

Fuente

Anuncios

Autor: Diego Germán Gonzalez

Autor de contenidos relacionados con el managment, la productividad personal y la tecnología.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.