Wang Jing, en doktorgradstudent ved Nanyang Technological University i Singapore, har oppdaget en alvorlig sårbarhet knyttet til autentiseringssystemene OAuth 2.0 og OpenID. Sårbarheten, som er av typen «covert redirect», dreier seg om at en applikasjon tar en parameter og omdirigerer en bruker til parameteren uten tilstrekkelig validering. Ifølge Jing skyldes dette ofte at nettsteder har for stor tillit til sine partnere.
– Nettstedet sjekker domenenavnet mot et «token» (tildelt til partneren som et middel for verifisering) i den omdirigerte URL-en. Dersom paret er i godkjent-listen i nettstedets database, vil det tillate omdirigeringen. Men dersom URL-en tilhører et domene som har en «open redirect»-sårbarhet, kan brukerne omdirigeres fra nettstedet til et sårbart nettsted og deretter til en ondsinnet nettsted, skriver Jing.
Han mener at sårbarheten berører nesten alle de større tilbyderne av OAuth 2.0 og OpenID og nevner spesifikt Facebook, Google, Yahoo, LinkedIn, Microsoft, Paypal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru og Sohu.
I tilfellet med Facebook kan sårbarheten ifølge Jing utnyttes til å få tilgang til i alle fall grunnleggende informasjon om brukeren, inkludert e-postadresse, alder, sted og jobbhistorikk. Dersom brukeren har gitt tokenet større privilegier, kan en angriper også få tilgang til mer sensitiv informasjon, inkludert e-post, kontaktlister og tilstedeværelse. I verste fall kan angripere betjene kontoen på brukerens vegne.
Jing har kontaktet flere av de store brukerne som er berørt av sårbarheten, og flere av selskapene har svart. Noen har bekreftet sårbarheten, men tar i varierende grad ansvar for den. Svarene og andre detaljer om hver enkelt tjeneste er gjengitt i egne blogginnlegg, som er oppgitt i en tabell omtrent midt på denne siden. I den samme tabellen finnes det lenker til YouTube-videoer som demonstrerer sårbarheten hos flere av de samme tjenestene. En video som viser sårbarheten hos Facebook er gjengitt nedenfor.
Alt tyder på at det i alle fall på kort sikt vil være vanskelig å gjøre noe for å fjerne sårbarheten. I praksis vil det kreve at alle tredjepartsapplikasjoner alltid bruker en hviteliste. LinkedIn er blant aktørene som allerede har gjort dette.
– I den virkelige verden vil et stort antall tredjepartsapplikasjoner ikke gjøre dette av ulike årsaker. Dette gjør at systemer basert på OAuth 2.0 eller OpenID er svært sårbare, skriver Jing.
Les også:
- [25.09.2014] Utvikler advarer mot app-nettlesere
- [06.05.2014] – Ikke den neste HeartBleed
- [27.02.2014] OpenID tar ny sats
