Notícies

Un problema de vulnerabilitat d'OpenID i OAuth afecta Google, Facebook i altres

« Tornar

Els principals proveïdors de OAuth 2.0 i OpenID com Facebook, Google Yahoo , LinkedIn i Microsoft s'han vist afectats per una greu vulnerabilitat de redirecció encoberta.

Segons Jing Wang, estudiant de doctorat en matemàtiques a la Universitat Tecnològica de Nanyang a Singapur, aquesta nova vulnerabilitat podria dur a redirigir els atacs a clients i proveïdors de OAuth 2.0 o OpenID. "Per OAuth 2.0, aquests atacs podrien posar en perill el símbol dels usuaris del lloc, que podria ser utilitzat per accedir a la informació de l'usuari", ha escrit Wang en un bloc.

"En el cas de Facebook, la informació podria incloure els bàsics, com l'adreça de correu electrònic, edat, localitat, historial de treball, etc. Si el token té més privilegi (l'usuari ha de donar el seu consentiment en el primer lloc, no obstant), l'atacant podria obtenir la informació més sensible, com ara bústia, llista d'amics i la presència en línia, i fins i tot operar el compte en nom de l'usuar".

Enllaços relacionats