OAuth, OpenID com graves problemas de segurança. Há vários serviços afectados
O OpenID e o OAuth são serviços baseados em open source que eliminam a necessidade de criar diferentes contas para cada website que visita. São este tipo de serviços que nos permitem, por exemplo, autenticar em vários serviços da Web, recorrendo simplesmente as nossas credenciais do Facebook.
Mas, de acordo com o investigador Wang Jing (estudante na Universidade de Singapura), o OAuth e o OpenID são serviços vulneráveis neste momento e é importante que os utilizadores estejam muito atentos na hora da autenticação.
Depois do Heartbleed, eis que o mundo da Internet volta a ser atormentado por uma vulnerabilidade gravíssima.
São vários os serviços que fazem uso do OpenID e o OAuth 2.0 para simplificar o processo de autenticação dos utilizadores. Facebook, Google, PayPal, GitHub, Linkedin, Yahoo…são alguns dos exemplos de serviços mais populares que estão neste momento afectados por tal vulnerabilidade.
Segundo reportou o investigador Wang Jing, se esta vulnerabilidade (Covert Redirect) for explorada, facilmente uma pessoa mal intencionada pode obter as credenciais dos utilizadores. Para isso, basta que seja criado algum tipo de código malicioso, que confunda os utilizadores, e que possa levar a que esses mesmos utilizadores dêem autorização para que o processo de autenticação seja processado.
Para complicar a situação actual, especialistas na área de segurança já vieram referir que esta vulnerabilidade tem de ser corrigida no OpenID e o OAuth 2.0 e não nos serviços que fazem uso da mesma….o que poderá levar algum tempo, visto que existem rumores que indicam que a vulnerabilidade já era conhecida pelos responsáveis dos serviços de autenticação.
Não havendo por agora nenhuma solução, é extremamente importante que estejam atentos no momento da autenticação para que não carreguem em botões de autorização que invoquem código malicioso. O Pplware irá continuar a acompanhar este assunto e sempre que haja novidades, informará os seus leitores.