Actualidad Vintegris

Un problema de vulnerabilidad de OpenID y OAuth afecta a Google, Facebook y otros

« Volver

Los principales proveedores de OAuth 2.0 y OpenID como Facebook, Google Yahoo, LinkedIn y Microsoft se han visto afectados por una grave vulnerabilidad de redirección encubierta.

Según Jing Wang, estudiante de doctorado en matemáticas en la Universidad Tecnológica de Nanyang en Singapur, esta vulnerabilidad podría llevar a redirigir los ataques a clientes y proveedores de OAuth 2.0 o OpenID. 

"Para OAuth 2.0, estos ataques podrían poner en peligro el símbolo de los usuarios del sitio, que podría ser utilizado para acceder a la información del usuario ", ha escrito Wang en un blog. "En el caso de Facebook, la información podría incluir los básicos, como la dirección de correo electrónico, edad, localidad, historial de trabajo, etc. Si el token tiene mayor privilegio (el usuario debe dar su consentimiento en el primer lugar, sin embargo), el atacante podría obtener la información más sensible, tales como buzón, lista de amigos y la presencia en línea, e incluso operar la cuenta en nombre del usuario".

Enlaces relacionados