Nie panikuj i bądź czujny – OpenID i OAuth są dziurawe

Zaledwie kilka tygodni po niepokojącym odkryciu luki Heartbleed użytkownicy internetu dowiedzieli się o kolejnym rozprzestrzeniającym się błędzie, którego nie można łatwo naprawić. Dokładana nazwa luki brzmi „Covert redirection”, a została

Zaledwie kilka tygodni po niepokojącym odkryciu luki Heartbleed użytkownicy internetu dowiedzieli się o kolejnym rozprzestrzeniającym się błędzie, którego nie można łatwo naprawić. Dokładana nazwa luki brzmi „Covert redirection”, a została ona niedawno opisana przez Wang Jinga, doktoranta matematyki na uniwersytecie Nanyang Technological University w Singapurze. Błąd ten został wykryty w popularnych protokołach internetowych OpenID i Oauth; pierwszy z nich jest wykorzystywany podczas logowania się na strony internetowe przy użyciu danych z takich serwisów jak Google, Facebook, LinkedIN itp., a drugi podczas autoryzowania stron, aplikacji lub usług z Facebook/G+/itp. bez faktycznego ujawniania swojego hasła i loginu stronom trzecim. Oba są zazwyczaj używane równocześnie i okazuje się, że przez nie Twoje informacje mogą wpaść w nieodpowiednie ręce.

Zagrożenie

Nasi przyjaciele z Threatpost  wyjaśnili to zagadnienie od strony technicznej, mają nawet odnośnik do oryginalnego badania. Ale my pominiemy niepotrzebne detale i opiszemy jedynie możliwy scenariusz ataku i jego konsekwencje. Najpierw użytkownik odwiedza szkodliwą stronę phishingową, na której znajduje się popularny przycisk „Zaloguj się przez Facebooka”. Strona phishingowa może bardzo przypominać jedną z witryn popularnych firm trzecich lub pojawić się jako całkowicie nowy serwis. Po kliknięciu przycisku zostanie otwarte okno serwisu Facebook/G+/LI, w którym użytkownik musi wprowadzić swój login i hasło w celu autoryzowania wyżej wymienionych (i prawdopodobnie renomowanych) stron. Ostatecznie dane autoryzacji należące do profilu są wysyłane do stron phishingowych przy użyciu nieprawidłowego przekierowania.

Najpierw użytkownik odwiedza szkodliwą stronę phishingową, na której znajduje się popularny przycisk „Zaloguj się przez Facebooka”

Pod koniec dnia cyberprzestępca odbiera poprawne dane autoryzacji (token OAuth) i może uzyskać dostęp do profilu ofiary ze wszystkimi uprawnieniami oryginalnej aplikacji ― w najlepszym przypadku jest to dostęp tylko do podstawowych danych szczegółowych użytkownika; w najgorszym – dostęp do kontaktów, możliwość wysyłania wiadomości itp.

Czy już to naprawili? Nie do końca

Zagrożenie to prawdopodobnie nie zniknie w najbliższym czasie, ponieważ łata musi być wykonana zarówno po stronie dostawcy (Facebook/LinkedIn/Google), jak i klienta (aplikacji lub usługi firmy trzeciej). Protokół OAuth jest wciąż w wersji beta, a wielu dostawców używa kilku jego wersji, które różnią się możliwościami co do zapobiegania wspomnianemu scenariuszowi ataku. LinkedIn jest w najlepszej sytuacji, bo wprowadził bardziej rygorystyczne reguły – od każdego dostawcy żąda dostarczenia „białej listy” właściwych przekierowań. W ten sposób każda aplikacja używająca autoryzacji LinkedIn albo jest bezpieczna, albo nie działa. Inaczej jest w przypadku Facebooka, który niestety posiada szerszy zestaw aplikacji firm trzecich i może starszą implementację OAuth. Z tego powodu przedstawiciele Facebooka powiedzieli Jingowi, że stworzenie białych list „nie może być zrealizowane w krótkim czasie”.

Dziurawych jest także wielu innych wymienionych poniżej dostawców, więc jeśli logujesz się na jakieś strony przy pomocy tych serwisów, bądź ostrożny.

Vulnerable-providers

Twój plan działania

Dla tych, którzy obawiają się najbardziej, jedynym rozwiązaniem będzie zaprzestanie korzystania z OpenID i wygodnych przycisków „Zaloguj się przez…” na kilka miesięcy. Ma to swoje plusy – w ten sposób zwiększysz swoją prywatność, bo używanie tych loginów do sieci społecznościowych umożliwia efektywniejsze śledzenie Twojej aktywności online i odczytywanie Twoich podstawowych danych demograficznych przez wiele stron. Aby uniknąć przeszkody w zapamiętywaniu dziesiątek lub nawet setek różnych danych logowania z różnych stron, możesz zacząć używać skutecznego menedżera haseł. Dzisiaj większość serwisów jest wyposażona w wieloplatformowe klienty i synchronizację z chmurą, co ma na celu zapewnienie Ci dostępu do haseł na dowolnym urządzeniu.

Jeśli nie zamierzasz przestać korzystać z autoryzacji OpenID, w porządku. Musisz jednak być czujny i unikać wszystkich oszustw phishingowych, które zazwyczaj zaczynają się od otrzymania jakiegoś niepokojącego e-maila lub prowokującego odnośnika na Facebooku czy w innym portalu społecznościowym. Jeśli logujesz się do jakiejś usługi przy pomocy Facebooka albo Google’a, lepiej ręcznie wprowadzaj jej adres lub korzystaj z zapisanej zakładki, unikaj natomiast korzystania z odnośnika umieszczonego w poczcie czy komunikatorze. Sprawdź dwa razy pasek adresu, aby uniknąć fałszywych stron, i nie zapisuj się do nowych usług przy użyciu OpenID, chyba że masz 100% pewność, że serwis jest wiarygodny i wylądujesz na właściwej stronie. Ponadto, używaj rozwiązania umożliwiającego bezpieczne przeglądanie, typu Kaspersky Internet Security – multi-device, które zadba o Twoje bezpieczeństwo.

Potraktuj to jako zwykłe ćwiczenie przygotowujące Cię na wszelki wypadek. Zagrożenia phishingowe są szeroko rozpowszechnione i dość efektywne, prowadzą do strat własności cyfrowej w wielu postaciach, łącznie z: numerami kart kredytowych, loginami do konta pocztowego i podobnych. Luka „Covert redirect” w OpenID i OAuth to jeszcze jeden powód, aby o tym pamiętać.

Porady