Monday, 8 December 2014

OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も

\

OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリ ティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆 弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、 Microsoft、LinkedInといったテクノロジ大手に使われている。

シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。

たとえば、悪意あるフィッシングリンクをクリックすると、 Facebook内でポップアップウィンドウが開き、アプリを許可するよう求められる。 Covert Redirect脆弱性の場合、本物に似た偽ドメイン名を使ってユーザーをだますのではなく、本物のサイトアドレスを使って許可を求める。

ユーザーがログインの許可を選択すると、正当なウェブサイトではなく攻撃者に個人データが送られてしまう。渡される個人データは、何を要求されるかにもよるが、メールアドレス、誕生日、連絡先リスト、さらにはアカウント管理情報にも及ぶ可能性がある。

アプリを許可したかどうかにかかわらず、標的になったユーザーはその後、攻撃者が選ぶウェブサイトにリダイレクトされ、そこでさらなる攻撃を受ける可能性がある。

Wang 氏によると、すでにFacebookには連絡し、この脆弱性を報告したが、同社は「OAuth 2.0に関連するリスクは理解していた」と述べた上で、「当プラットフォーム上の各アプリケーションにホワイトリストの利用を強制することが難しい」た め、このバグを修正することは「短期間で達成できるものではない」と返答したという。

影響を受けるサイトはFacebookだけではない。Wang氏は、Google、LinkedIn、Microsoftにもこの件を報告したが、問題への対処についてさまざまな回答を受け取ったと述べている。

Google(OpenID を利用している)はWang氏に、現在この問題に取り組んでいると伝えた。LinkedInは、この件に関するブログを公開 したと述べた。一方でMicrosoftは、調査を行ったところ、脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しないと述べ た。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。



関連ニュース:
http://phys.org/news/2014-05-math-student-oauth-openid-vulnerability.html
http://news.yahoo.com/facebook-google-users-threatened-security-192547549.html
http://thehackernews.com/2014/05/nasty-covert-redirect-vulnerability.html
http://media.sohu.com/20140504/n399096249.shtml/
http://tetraph.com/covert_redirect/oauth2_openid_covert_redirect.html
http://frenchairing.blogspot.fr/2015/05/oauthopenid-facebook.html
http://ittechnology.lofter.com/post/1cfbf60d_7063707
http://japanbroad.blogspot.jp/2015/05/oauthopenid-facebook.html
https://www.facebook.com/permalink.php?story_fbid=1627056064179537&id=1567915086760302
http://itinfotech.tumblr.com/post/119438421756/securitypost
http://russiapost.blogspot.ru/2015/05/oauthopenid-facebook.html
http://securitypost.tumblr.com/post/119438140702/oauth-openid-facebook
http://whitehatpost.blog.163.com/blog/static/24223205420154208321335/
https://www.facebook.com/essaybeans/posts/564431223698348?
http://germancast.blogspot.de/2015/05/oauthopenid-facebook.html
http://itsecurity.lofter.com/post/1cfbf9e7_70608ba
https://hackertopic.wordpress.com/2014/12/12/oauth-covert-redirect


















No comments:

Post a Comment