互联网安全地震第三波:OAuth/OpenID认证爆漏洞

mobile security

4月份以来,心脏出血漏洞和微软IE浏览器零日漏洞对全球互联网安全造成严重威胁,但一波未平一波又起,近日开源认证软件OpenID和Oauth又爆出严重安全漏洞,攻击者可利用社交账户第三方应用认证(通行证)窃取用户身份信息。

4月份开源软件OpenSSL爆出的“心脏出血”漏洞波及三分之二互联网,数以亿计的网民个人信息都面临泄露风险,正当业界纷纷指责和质疑开源软件的安全问题时,微软近日爆出的史上最严重的IE浏览器零日漏洞给这场争论划上了句号——无论开源还是闭源软件,都不靠谱。

屋漏偏逢连夜雨,近日新加坡南洋科技大学的博士生王晶(音译)同学又发现开源认证授权软件OpenID和Oauth存在严重安全漏洞,这对于伤痕累累的互联网信息安全基础设施来说,无异于伤口上又撒了一把盐。

王晶将发现的漏洞命名为Cover Redirect(秘密重定向),当用户点击一个钓鱼链接时,会跳出一个正规大站(例如facebook或者新浪微博之类)的应用授权窗口,要求你为一个新应用授权访问,进而窃取用户的个人信息如邮件地址、联系人等信息,并发回给攻击者。

王晶在接受媒体采访时指出,已经将该漏洞报告给Google、LinkedIn和微软等公司,包括雅虎和Paypal等大量网站都可能受此漏洞影响。

王晶在个人博客中指出:

漏洞的修补并不容易,需要所有第三方应用都严格最受白名单制度,这样才能确保攻击者没有机会下手。但在现实中大量第三方应用都没有遵守制度,这让基于OAuth2.0和OpenID的系统安全门户大开。

安全公司BitDefender建议用户采取以下安全措施:

永远不要点击来路不明的(垃圾)邮件或即时通讯应用中的网址,更重要的是,千万不要在弹出的社交账户授权窗口中填写信息。

 


By zeon
不动如山,侵掠如火

0 评

忘记密码