Denuncian fallos de seguridad en OpenID y OAuth

Wang Jing, estudiante de matemática de posgrado en la Nanyang Technological University, ha encontrado una vulnerabilidad grave conocida como “Covert Redirect” relacionada con OAuth 2.0 y OpenID. OAuth 2.0 y OpenID son utilizados por importantes proveedores de servicios de internet como Facebook, Google , Yahoo , LinkedIn, Microsoft , Paypal, GitHub , QQ , Taobao , Weibo , VK , Mail.Ru , Sohu , etc y podría permitir ataques tanto a los proveedores como a los clientes.

En el caso de OAuth 2.0 , estos ataques pueden poner en peligro ” el token ” (identificador criptográfico) de los usuarios del sitio , que podría ser utilizado para acceder a la información de usuario . En el caso de Facebook , la información podría incluir datos básicos , como la dirección de correo electrónico , edad, localidad , historial de trabajo, etc Si el usuario da su consentimiento, el atacante podría obtener información más sensible , tales como acceso a la bandeja de entrada, lista de amigos y estado en línea , e incluso operar la cuenta en nombre del usuario.

En OpenID , los atacantes pueden obtener información del usuario directamente.

Fuente

Anuncios

Deja un comentario

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.