Proponha uma correção, faça uma sugestão
Autenticação nos serviços web via Facebook em risco…
OAuth, OpenID com graves problemas de segurança. Há vários serviços afectados
O OpenID e o OAuth são serviços baseados em open source que eliminam a necessidade de criar diferentes contas para cada website que visita. São este tipo de serviços que nos permitem, por exemplo, autenticar em vários serviços da Web, recorrendo simplesmente as nossas credenciais do Facebook.
Mas, de acordo com o investigador Wang Jing (estudante na Universidade de Singapura), o OAuth e o OpenID são serviços vulneráveis neste momento e é importante que os utilizadores estejam muito atentos na hora da autenticação.
Depois do Heartbleed, eis que o mundo da Internet volta a ser atormentado por uma vulnerabilidade gravíssima.
São vários os serviços que fazem uso do OpenID e o OAuth 2.0 para simplificar o processo de autenticação dos utilizadores. Facebook, Google, PayPal, GitHub, Linkedin, Yahoo…são alguns dos exemplos de serviços mais populares que estão neste momento afectados por tal vulnerabilidade.
Segundo reportou o investigador Wang Jing, se esta vulnerabilidade (Covert Redirect) for explorada, facilmente uma pessoa mal intencionada pode obter as credenciais dos utilizadores. Para isso, basta que seja criado algum tipo de código malicioso, que confunda os utilizadores, e que possa levar a que esses mesmos utilizadores dêem autorização para que o processo de autenticação seja processado.
Para complicar a situação actual, especialistas na área de segurança já vieram referir que esta vulnerabilidade tem de ser corrigida no OpenID e o OAuth 2.0 e não nos serviços que fazem uso da mesma….o que poderá levar algum tempo, visto que existem rumores que indicam que a vulnerabilidade já era conhecida pelos responsáveis dos serviços de autenticação.
Não havendo por agora nenhuma solução, é extremamente importante que estejam atentos no momento da autenticação para que não carreguem em botões de autorização que invoquem código malicioso. O Pplware irá continuar a acompanhar este assunto e sempre que haja novidades, informará os seus leitores.
Este artigo tem mais de um ano
Loading ...
Não há problema nenhum se entrarem em sites que confiam, esta vulnerabilidade não é nada de novo, e fácil de explorar.
José lê lá bem o texto …
Pedro Pinto,
Essa falha aparece de repente no site solicitando o Login ,como pop-ups ,propagandas?Ou está sendo explorado os botões nativos do sites para logins?
Sou “antiquado” nesse aspecto, nunca usei o Facebook ou Twitter para login. Tenho um username e um email “falso” para todos os login. Claro que há sempre excepções, que no meu caso são o Paypal, o Fecebook e o Twitter em que uso o nome verdadeiro e o mail “oficial”. O Facebook uso com muita moderação…
Absurdo! O um OAuth Server responde (deve responder) apenas para URIs conhecidos, e do domínio de onde vem o pedido. Assim sendo a única “falha” que existe e que não é do OAuth, é no caso de a pessoa ser levada a utilizar um site/link falso o que era algo muito famoso há uns anos atrás com os sites dos bancos, porque as pessoas não se preocupavam se o URI era válido ou não, e como tal não reparavam que estavam a dar os seus códigos pessoais a sites fraudulentos (semelhante ao que também já se viu acontecer com caixas multibanco falsas, mas nunca ouvi dizer que as caixas multibanco tinham um problema de segurança porque podiam ser falsas).
Em quantos jogos e aplicações não entramos tantas vezes e permitidos login a partir de OAuth? É fácil fazer uma aplicação falsa e libertá-la no mercado, de forma gratuita, com a hipótese desse tipo de autenticação. Aqui não se está a falar de sites que fingem ser bancos ou informação de nível monetário, pelo que é muito mais difícil de distinguir os falsos dos verdadeiros.
Mas os serviços opensource não deviam ser mais seguros?
Open source nao tem qualquer ligacao se e mais seguro ou nao, a nunica vantagem e q pode ser melhorado e que qualquer tentativa de mal possa ser descoberta. Mesmo assim o Open Source perde pela perda de seguranca porque todos tem acesso ao codigo e podem encontrar falhas
Essa falha aparece de repente no site solicitando o Login ,como pop-ups ,propagandas?Ou está sendo explorado os botões nativos do sites para logins?