Dopo Heartbleed, il bug individuato nel protocollo open source OpenSSL, pochi giorni fa è stata svelata l’esistenza di una vulnerabilità in altri due standard open usati per eseguire le operazioni di autorizzazione e autenticazione. Un ricercatore della Nanyang Technological University di Singapore, Wang Jing, ha scoperto una grave falla di sicurezza nei tool di login OAuth e OpenID, utilizzati da molti giganti del web, tra cui Microsoft, Google e Facebook. Sfruttando l’exploit Covert Redirect, un malintenzionato potrebbe accedere ai dati personali degli utenti.
OAuth fornisce alle applicazioni client l’accesso sicuro alle risorse del server. Lo standard viene usato, ad esempio, per effettuare il login su siti terzi, utilizzando le credenziali del profilo Facebook. La vulnerabilità consente di creare un sistema di autorizzazione simile all’originale, quindi l’utente crederà di concedere il permesso al dominio del social network. In realtà, l’accesso alle proprie informazioni verrà concesso ad un sito fasullo. In base al tipo di permesso, il malintenzionato potrà leggere nome, età, indirizzo email, luogo di residenza, elenco degli amici e, in casi estremi, ottenere il controllo dell’account. Con OpenID, il furto dei dati è ancora più semplice.
Wang ha già contattato Facebook per segnalare l’esistenza del bug. L’azienda di Menlo Park ha compreso il rischio associato all’uso di Oauth 2.0 e cercherà di usare una whitelist per le applicazioni di terze parti, ma il problema non potrà essere risolto in tempi brevi. Anche Google (che usa OpenID) è al lavoro per trovare una soluzione. Microsoft, invece, sostiene che la vulnerabilità è presente sui domini di terze parti, non sui propri siti.
Dato che Facebook, Google, Microsoft e altri sono i target degli attacchi, il ricercatore ritiene che i siti di terze parti siano poco incentivati a risolvere il problema, quindi la falla potrebbe rimanere attiva per lungo tempo. In attesa di una patch, gli utenti dovrebbero evitare di cliccare su link che aprono popup di login e chiudere immediatamente la scheda del browser.