" />
ZOOM
GALERÍA
0 COMENTARIOS

Covert Redirect, un grave fallo de seguridad en OAuth y OpenID

A los problemas ocasionados por Heartbleed en OpenSSL, que todavía traen de cabeza a proveedores de servicio y usuarios, se suma una vulnerabilidad (Cover Redirect) encontrada en OAuth y OpenID, los sistemas de autenticación de usuarios empleados por numerosos servicios, entre los que se encuentran Google, PayPal, Yahoo!, Facebook, Linkedin, Microsoft o Steam.

OpenID es un sistema que permite a los usuarios conectarse a un sitio con las credenciales de una fuente acreditada. De este modo, los usuarios no deben registrarse en todos los sitios a los que acceden y pueden emplear para ello la cuenta que ya poseen en proveedores de servicios como Google y Facebook. Oauth, por su parte, no exige que el usuario introduzca sus datos de acceso, sino que solicita una prueba de que el usuario está conectado a ese servicio.

En ambos casos, la vulnerabilidad detectada permite que una web o app maliciosa pida las credenciales de acceso, o autorización para acceder a determinada información de su cuenta de usuario, desde un dominio legítimo. Tras ello, el usuario también es dirigido a una página del atacante donde se puede encontrar con otras amenazas.

Según el analista que ha descubierto el problema de seguridad, la solución más evidente pasaría porque todos los sitios cuya seguridad depende de estos protocolos se pongan de acuerdo en utilizar listas blancas de sitios de confianza. Algo que, en su opinión, «es más fácil decirlo que hacerlo».

Algunas de las plataformas afectadas han asegurado que están estudiando el alcance del problema y que emitirán comunicados (esperamos que aportando alguna solución) próximamente. En el caso de Microsoft, la compañía ha asegurado que no se trata de una amenaza que deban gestionar los proveedores de autenticación de usuarios, sino aquellas webs y aplicaciones que utilizan estas y que, por tanto, deben asegurarse de que se está accediendo correctamente al servicio.

Aunque no se trata de un agujero de seguridad tan peligroso y extendido como Heartbleed en OpenSSL, solucionar este problema es también complicado y puede dejar a merced de cibercriminales a los usuarios que utilizan sus cuentas de Google, Microsoft, Yahoo! o Facebook para conectarse a otros servicios, en particular a través de apps móviles.

Foto: stockmedia.cc – stockarch.com

No comments yet.

Deja un comentario