OAuth e OpenID vulnerabili, attenti ai login

Una falla nei sistemi di autorizzazione e autenticazione potrebbe consentire l'accesso ai dati personali usati dai servizi di Facebook, Google e Microsoft.
Una falla nei sistemi di autorizzazione e autenticazione potrebbe consentire l'accesso ai dati personali usati dai servizi di Facebook, Google e Microsoft.
Luca Colantuoni
Pubblicato il 5 mag 2014

Dopo Heartbleed, il bug individuato nel protocollo open source OpenSSL, pochi giorni fa è stata svelata l’esistenza di una vulnerabilità in altri due standard open usati per eseguire le operazioni di autorizzazione e autenticazione. Un ricercatore della Nanyang Technological University di Singapore, Wang Jing, ha scoperto una grave falla di sicurezza nei tool di login OAuth e OpenID, utilizzati da molti giganti del web, tra cui Microsoft, Google e Facebook. Sfruttando l’exploit Covert Redirect, un malintenzionato potrebbe accedere ai dati personali degli utenti.

OAuth fornisce alle applicazioni client l’accesso sicuro alle risorse del server. Lo standard viene usato, ad esempio, per effettuare il login su siti terzi, utilizzando le credenziali del profilo Facebook. La vulnerabilità consente di creare un sistema di autorizzazione simile all’originale, quindi l’utente crederà di concedere il permesso al dominio del social network. In realtà, l’accesso alle proprie informazioni verrà concesso ad un sito fasullo. In base al tipo di permesso, il malintenzionato potrà leggere nome, età, indirizzo email, luogo di residenza, elenco degli amici e, in casi estremi, ottenere il controllo dell’account. Con OpenID, il furto dei dati è ancora più semplice.

Wang ha già contattato Facebook per segnalare l’esistenza del bug. L’azienda di Menlo Park ha compreso il rischio associato all’uso di Oauth 2.0 e cercherà di usare una whitelist per le applicazioni di terze parti, ma il problema non potrà essere risolto in tempi brevi. Anche Google (che usa OpenID) è al lavoro per trovare una soluzione. Microsoft, invece, sostiene che la vulnerabilità è presente sui domini di terze parti, non sui propri siti.

Dato che Facebook, Google, Microsoft e altri sono i target degli attacchi, il ricercatore ritiene che i siti di terze parti siano poco incentivati a risolvere il problema, quindi la falla potrebbe rimanere attiva per lungo tempo. In attesa di una patch, gli utenti dovrebbero evitare di cliccare su link che aprono popup di login e chiudere immediatamente la scheda del browser.

Ti consigliamo anche

Logitech MX Keys S, il prezzo di questa tastiera wireless crolla! MENO 23 PER CENTO!
Web e Social

Logitech MX Keys S, il prezzo di questa tastiera wireless crolla! MENO 23 PER CENTO!
Festa del 1 maggio 2024: le migliori frasi da inviare su WhatsApp ad amici e parenti
Software e App

Festa del 1 maggio 2024: le migliori frasi da inviare su WhatsApp ad amici e parenti
Samsung Smart TV 65 pollici, il prezzo crolla, sconto esagerato MENO 500 euro!
Web e Social

Samsung Smart TV 65 pollici, il prezzo crolla, sconto esagerato MENO 500 euro!
Caricabatterie portatile, piccolo ma POTENTE: ancora per poco al 20% di sconto su Amazon!
Web e Social

Caricabatterie portatile, piccolo ma POTENTE: ancora per poco al 20% di sconto su Amazon!
Link copiato negli appunti