Cuando aún muchos servidores en el mundo se mantienen afectados por Heartbleed hay noticias de otro fallo de grandes magnitudes, aunque sin llegar al nivel del primero. La vulnerabilidad que existe ahora es en OAuth y OpenID y los usuarios muy poco podemos hacer al respecto, ya que la solución está en manos de las empresas.
OAuth y OpenID son herramientas de código abierto para autentificar usuarios y que utilizan empresas como Google, Facebook, Microsoft, Yahoo, Paypal y Linkedin. Todos hemos visto estas herramientas, que abren ventanas emergentes donde se nos pide autentificarnos con alguna de nuestras cuentas para poder acceder a cierto contenido o servicio.
El problema consiste en que aparece una ventana que nos pide redirigirnos a Facebook, la cual parece totalmente segura pero no lo es. Hasta aquí la cuestión funciona como si fuese phishing, pero va más allá ya que el exploid, que se ha llamado Covert Redirect, obtiene la información del usuario desde el servidor, sin que el usuario tenga que introducirla.
Esta nueva vulnerabilidad ha sido descubierta por Wang Jing, un estudiante de doctorado de la Universidad Técnica de Nanyang, en Singapur. El problema podría salir caro para las empresas pero en algún momento tendrán que poner manos a la obra. De momento se recomienda no loggearse a las cuentas digitales a través de ventanas emergentes.
No comments:
Post a Comment