کشف حفرههای خطرناک در سامانه احراز هویت اینترنتی
وبگاههای بزرگ در خطر هستند
به تازگی خطای امنیتی مهمی در هر دو سامانه احراز هویت OpenID و OAuth کشف شده است که میتواند برای مهاجم امکان سرقت دادههای کاربر را فراهم کند و قربانی را به وبگاههای ناامن هدایت کند.
به گزارش پایگاه خبری بانکداری الکترونیک،به نقل از فارس، در ماه گذشته میلادی مهمترین خبر امنیتی مربوط به آسیبپذیریِ Heartbleed بود که روزها در صدر اخبار قرار گرفته بود و اهمیت آن مربوط به گسترهی استفاده از نرمافزار رمزنگاری OpenSSL بوده است.
اینبار، آسیبپذیری مهمی در سامانههای احراز هویت OpenID و OAuth که وبگاههای بزرگی چون گوگل، فیسبوک، LinkedIn، مایکروسافت و غیره از آن استفاده میکنند بار دیگر دنیای امنیت را به لرزه درآورده است.
دانشجوی دکترای دانشگاه Nanyang Technological در کشور سنگاپور به نام Wang Jing، به تازگی آسیبپذیری مهمی به نام «Covert Redirect» را در سامانههای احراز هویت مذکور کشف کرده است
نحوهی کار این آسیبپذیری به این شکل است که قربانی با کلیک بر یک پیوندِ فیشینگ که از طریق رایانامه دریافت کرده است، یک پنجرهی بالاپر1 در مرورگر خواهد دید که از وی میخواهد به منظور احراز هویت اطلاعات کاربری خود را وارد کند، بسته به اینکه پیوند مربوط به چه وبگاهی باشد، کاربر دقیقاً آدرس وبگاهها مانند فیسبوک و گوگل را مشاهده خواهد کرد. به محض تایید اطلاعات کاربر، اطلاعاتی که وی در این پنجره وارد کرده است، به سمت مهاجم ارسال خواهد شد.
البته نکته مهم این است که حتی اگر کاربر دکمه تایید اطلاعات را نزند، به سمت وبگاهی که مهاجم میخواهد هدایت میشود که میتواند به صورت بالقوه رایانهی قربانی را آلوده کند.
Wang میگوید وی با شرکت فیسبوک تماس گرفته و اطلاعات این آسیبپذیری را گزارش داده است، اما فیسبوک در پاسخ این مشکل را مربوط به سامانهی احراز هویت OAuth 2.0 دانسته و رفع خطاهای امنیتی آن را در کوتاه مدت غیرممکن گزارش داده است.
فیسبوک به وی پیشنهاد داده است تا برای تمام نرمافزارهای موجود در سکوی مورد استفاده خود از یک لیست سفید استفاده کند که امکان احراز هویت به نرمافزارهای غیرمجاز از دسترس خارج شود.
Wang همچنین این مشکل را به گوگل، LinkedIn، مایکروسافت نیز گزارش داده است و پاسخهای متعددی برای مقابله با این مشکل دریافت کرده است.
در تصویر زیر فهرست تمام وبگاهها و سرویسهایی که از OAuth و OpenID برای احراز هویت استفاده میکنند و در مقابل این آسیبپذیری مصون نیستند را مشاهده میکنید:
گوگل که از سامانه OpenID استفاده میکند، در پاسخ عنوان کرده است که در حال پیگیری این مشکل است و سایر وبگاهها نیز با وعده در مورد هشدار به کاربران و یا عدم قبول مسئولیت در مقابل این آسیبپذیری، مشکل را به سامانههای احراز هویت مربوط دانستهاند.
اگرچه این آسیبپذیری زمانی خطرناک میشود که کمپین حملات هدفمند به سوءاستفاده از آن بپردازند، اما از آنجایی که هیچ وصلهای برای آن وجود ندارد، بسیار خطرناک خواهد بود و البته کافی است به تعداد کاربرانی که هر روزه از سرویسهای آسیبپذیر استفاده میکنند نیز اشارهای داشته باشیم که روشن شود این آسیبپذیری میتواند دنیای اینترنت را با خطرات جدیِ سرقت اطلاعات مواجه کند.