Guia do Iniciante para certificados SSL
Provedores de identidade on-line bigshot LinkedIn e Amazon eram vulneráveis a um novo ataque que permitiu que os fraudadores ID possibilidade de acesso a melhores sites - incluindo Slashdot, NASDAQ.com e Crowdfunder - um duo de segurança da IBM têm revelado.
Ou Peles e Roee Hay da IBM Security Systems disse que os ataques funcionou porque os fornecedores incluídos MyDigiPass, "login no LinkedIn" ou "Entrar com Amazon" funções em seus sites. Esses sítios de contas nomeadas permitidos que não tinham tido endereços de e-mail confirmados para ser utilizado para um login verificada.
Um atacante se movendo em prévia para os locais, que fixa as falhas, ou em outros possivelmente ainda vulnerável locais, poderia registrar o endereço de e-mail da vítima com um provedor de identidade e um site escolhido, em seguida, clique na rede social sign-in botão para aceder, tudo sem nunca clicar em um link de verificação de e-mail.
Os sites nomeados foram avisados pela Big Blue e, posteriormente corrigida porque tinham boas-vindas ao público de relatórios de erros por parte da comunidade de segurança, um feito que todas as organizações devem considerar seriamente.
"A vulnerabilidade identificamos é que alguns provedores de identidade concorda em fornecer endereços de e-mail da conta, como parte do processo de autenticação de login social, mesmo quando a propriedade do usuário deste endereço de e-mail não foi verificada de forma positiva", Peles e Hay escreveu no jornal SpoofedMe intrometendo Contas usando Social Acesso Fornecedores: A representação social entre Ataque (registro ou sem ironia sinal-in social, é necessário).
"Este ataque é baseado em uma vulnerabilidade implementação básica encontrada em certos provedores de identidade, juntamente com um problema de projeto em sites de terceiros que era anteriormente conhecido", disse o duo.
"Quando o login com um provedor de identidade diferente, pela primeira vez, dando um endereço de e-mail que é idêntico ao de um usuário local existente, um problema de implementação poderia automaticamente (ou avisar o usuário) vincular a nova conta com o já existente locais conta sem pedir as credenciais adicionais, por causa da confiança do site de terceiros na posse endereço de e-mail do usuário final ".
O ataque trabalhou em todos os novos proprietários e protocolos de login social que eram vulneráveis independentemente de mecanismos de assinatura ou de fluxo, a dupla disse que, desde que o endereço de e-mail foi enviado para websites.
Sites e provedores de identidade deve tanto corrigir as falhas de verificação para impedir que intrusos o login usando os pesquisadores 'explorar ou cortando provedores de identidade para obter acesso a sites.
"Equipe de segurança do LinkedIn seguiu a nossa sugestão e corrigiu o problema, não permitindo que os pedidos de login sociais que incluem o campo de e-mail para continuar, caso o e-mail não é verificado," a dupla escreveu , observando também que a equipe de segurança da Amazon adicionou uma seção para o seu desenvolvedor documentação sobre a fixação do vuln. VASCO (proprietários de MyDigiPass) "corrigiu o problema por apenas fornecendo o campo e-mail para seus sites que dependem quando o endereço de e-mail do usuário é verificada e, se o usuário escolheu ativamente para compartilhá-lo."
Uma correção semelhante seria para anexar o e-mail verificado campo boolean para endereços de email, permitindo que sites para rejeitar aqueles que não possuem propriedade comprovada.
Facebook e Google tanto se recusou a oferecer endereços de e-mail não verificados durante o ensaio, os dois aparentemente tendo lições aprendidas aplicados pela Microsoft e pela Universidade de Indiana pesquisadores em 2012
A iniciativa OpenID tinha razão, segundo eles, como "os únicos créditos que devem identificam o usuário são o assunto (do usuário user-ID no provedor de identidade) e emissor (o próprio provedor de identidade) utilizados em conjunto". ®
Nenhum comentário:
Postar um comentário