2014-05-07

OAuth 2.0、OpenIDに深刻な脆弱性。Facebookなど本物のサイトアドレスからログイン用ポップアップ画面を偽装してユーザのID/パスワードなどを盗むことが可能

今回見つかったセキュリティ問題は、「OAuth 2.0」と「OpenID」の深刻な脆弱性「Covert Redirect」で、本物のサイトアドレスからログイン用ポップアップ画面を偽装してユーザのID/パスワードなどを盗むことが出来てしまうというもの。「OAuth 2.0」及び「OpenID」は、セキュリティ上の脆弱性が問題になっているOpenSSL同様に、人気のオープンソースセキュリティソフトで多くのウェブサイトで使用されているログインツールです。使用しているウェブサイトには、Googleを初め、Facebook、Microsoft、Yahoo、LinkedInなどの大手のウェブサイトが名を連ねています。


この「Covert Redirect」という深刻な脆弱性によって、偽装サイトでユーザを騙すフィッシングではなく、Facebookなど本物のサイトアドレス上でポップアップウィンドウが開き、アプリを許可するよう求められるというもので、シンガポールのNanyang Technological University(南洋理工大学)の博士課程で学ぶ学生Wang Jing氏が発見。


「Covert Redirect」は、既知のエクスプロイトパラメータに基づいており、ユーザがログインの許可を選択すると、本来のウェブサイトではなく攻撃者に個人情報が送信されてしまいます。盗まれる可能性のある個人情報は、要求内容によるものの、ID/パスワード、メールアドレス、誕生日をはじめ、連絡先リスト、さらにはアカウント管理情報にも及ぶ可能性があるとのことです。また、標的になったユーザはその後も攻撃者が選ぶウェブサイトにリダイレクトされ、さらなる攻撃を受ける可能性があります。

【List of affected major OAuth 2.0 and OpenID providers

対処方法は、現在のところ無く、Wang Jing氏によれば、Facebookに連絡したところ、この脆弱性については「理解していた」ものの、このバグ修正については「短期間で達成できるものではない」との返答だったとのことです。現在影響を受けているサイトは、Facebookだけでなく、上記一覧のようにIT大手が並びます。Wang氏はこれらのサイトについても連絡を取っており、Googleからは「現在、問題に取り組んでいる」、LinkedInからは「この件に関するブログを公開した」、Microsoftからは「脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しない」との回答を得たとのことです。

via: CNET Japan
source: http://tetraph.comtetraph - YouTube

OpenSSLバグ関連


0 件のコメント :

コメントを投稿

Related Posts Plugin for WordPress, Blogger...