 |
Откриха критична уязвимост в Oauth и OpenID |
 |
|
Шумът около Heartbleed лека-полека отшумява след като стана ясно, че голяма част от засегнатия от уязвимостта софтуер е вече защитен от нея, но изглежда, че на хоризонта се задава нова опасност за интернет потребителите.Става дума за проблем с Oauth и OpenID - софтуерът с открит код, който пази данните, оторизиращи потребителите в Мрежата, съобщава Redmondmag.Използвани на платформите на едни от най-известните уебсайтове, като тези на Google, LinkedIn, Hotmail и Facebook, както Oauth 2.0, така и OpenID могат да бъдат използвани за провеждането на фишинг атаки срещу потребителите само с един клик върху зловредна връзка. Уязвимостта е открита от китайския математик Уонг Жин (Wang Jing), който използва Covert Redirect, за да намери бъга - техника, при която атакуващата страна използва подменен изскачащ прозорец, за да пренасочи към зловреден сайт."Ако на изскачащият прозорец са му дадени повишени привилегии (макар и за осигуряването на такива потребителят да трябва да се съгласи първо да му ги предостави), атакуващата страна може да достигне до критично важна информация, като да речем съдържанието на пощенската кутия, списък с контактите и онлайн присъствието и даже да получи права да управлява акаунта на потребителя", пише ученият на страницата на своя блог."Това обаче, което прави уязвимостта още по-опасна", пише Крис Паоли от Redmondmag, "е че уязвимостта свързана със скритото пренасочване (covert redirect) използва легитимния уеб адрес на сайта, който бива компрометиран преди потребителят да бъде пренасочен". Според Жин покриването на уязвимостта няма да изчезне с налагането на един пач просто. Подобно и на случая с Heartbleed, заради широката употреба на Oauth и OpenID във виртуалното пространство, отговорността за покриване на уязвимостта ще се падне на всеки собственик на сайт и интернет доставчик - нещо, което ще отнеме значително време.Това, което предлага медията, като възможно решение за избягване на опасността от попадане под ударите на бъга е спазване на базисна интернет хигиена и повишено внимание при следването на връзки в Интернет, които могат да ви отведат към страници, които да в подлъжат, че се вписвате във Facebook или в акаунта ви в Google.Мнозина специалисти, разкриват от медията, не само не отричат съществуването на бъга, но и споделят, че вероятността уязвимостта да е от отдавна, не е малка. "Макар и да не мога да го твърдя със 100% сигурност, мога да се закълна, че съм попадал на доклад за подобна, ако не и за идентична уязвимост в OAth", заявява Джеремая Гросман, основател и изпълнителен директор на WhiteHat Security за CNET. |
|
 |
|
Статистика |
|
|
| Прегледи | 153 |
| Коментари | 0 |
| Рейтинг | |
| Добавена на | 03 Май 2014 |
| Източник | Kaldata |
|
|
|
 |
|
|
|
|
|
