OAuth и OpenID: лазейка для ушлого вора

       Совсем недавно в криптографическом пакете OpenSSL c удивлением обнаружили весьма неприятную критическую уязвимость, которую специалисты по компьютерной безопасности окрестили Heartbleed Bug. Снова нарисовалась новая проблема в популярном в настоящее время сверх меры открытом ПО. Подкачали уже средства авторизации OAuth и OpenID, которые в почёте у многих крупных сайтов и технологических компаний: Google, Facebook, Microsoft, LinkedIn и др.

        Ванг Джинг (Wang Jing) из Наньянского технологического университета в Сингапуре выявил пренеприятнейшую уязвимость Covert Redirect. Она может проявляться в виде всплывающего окна с данными авторизации на домене сайта-донора информации. Пользователю достаточно кликнуть по вредоносной фишинговой ссылке, после чего появится всплывающее окно Facebook, в котором указан запрос на авторизацию для этого приложения. Вместо поддельного домена со схожим написанием уязвимость Covert Redirect позволяет использовать реальный адрес сайта для аутентификации. Если при этом пользователь вы решите осуществить авторизацию, ваши персональные данные станут доступны хакеру, а не легитимному сайту. Объем передаваемых данных зависит от запроса и может включать что угодно. Авторизуетесь или нет, всё равно попадёте на псевдосайт, где возможны дополнительные атаки хакера.

      Ванг Джинг уже сообщил компаниям Google, Facebook, Microsoft и LinkedIn о выявленной опасной лазейки для хакеров. При этом в Facebook ответили, что осознают риски, связанные с OAuth 2.0, а также отметили нехватку ресурсов для проверки каждого приложения на платформе для создания белого списка. Увы, решение проблемы не может быть реализовано в краткосрочной перспективе. В Google ответили, что с ней уже разбираются, а в LinkedIn по этому поводу даже опубликовали запись в блоге. Microsoft сообщила, что специалисты провели расследование и выявили указанную уязвимость на сторонних сайтах, но не на своих ресурсах.