Setelah dunia pelanggaran data terbesar 'Heartbleed,' kerentanan yang berbeda telah ditemukan yang bisa memungkinkan hacker untuk menyerang data pribadi Anda dan mencuri.
Sebuah lubang keamanan dalam protokol login online OAuth dan OpenID dapat digunakan untuk mencuri data dan mengarahkan pengguna ke situs-situs berbahaya, CNET melaporkan.
Cacat ini dijuluki "Covert Redirect," yang benar-benar mempengaruhi pengguna sebagai login pop-up berdasarkan domain situs yang terkena dampak, dan hari ini, dalam banyak kasus kita menggunakan login pop-up seperti jika kita ingin log-in ke situs web melalui facebook jadi biasanya pop-up terbuka untuk Otentikasi 'OAuth. "
Paling Penting:
Cacat ini tidak sama seperti phishing di mana Anda dapat menonton keluar URL Anda dengan hati-hati, benar-benar dalam "Alih-alih menggunakan nama domain palsu, Covert Redirect cacat menggunakan alamat situs nyata untuk otentikasi."
Otorisasi aplikasi akan mentransfer data ke penyerang bukannya mencapai situs yang sah seperti Facebook atau Google. Dengan demikian, data pribadi termasuk alamat email, tanggal lahir, daftar kontak, dan bahkan kontrol account dapat diberikan kepada hacker.
Bagaimana melindungi diri Anda sendiri?
Anda harus menutup salah satu tab yang tampak mencurigakan yang muncul menuntut login untuk Facebook, Google, Twitter, atau layanan internet lainnya yang menggunakan protokol open source ini.
Covert Redirect mengeksploitasi telah ditemukan oleh Wang Jing, seorang mahasiswa Ph.D di Nanyang Technological University di Singapura yang sudah dihubungi Facebook tentang hal itu. Namun, Facebook mengatakan kepadanya bahwa sementara itu "memahami risiko yang terkait dengan OAuth 2.0," tetapi memperbaiki bug tersebut "sesuatu yang tidak dapat dicapai dalam jangka pendek." "Pendek memaksa setiap aplikasi pada platform untuk menggunakan daftar putih, "memperbaiki sederhana tidak tersedia.
Wang juga menghubungi situs populer lainnya seperti Google, Microsoft dan LinkedIn, dan masing-masing memberinya jawaban yang berbeda.
Google: Masalah itu sedang dilacak.
LinkedIn: secara terbuka akan mengatasinya dalam posting blog.
Microsoft: Kami menyelesaikan investigasi atas masalah tersebut, dan lubang keamanan telah ditemukan di situs pihak ketiga, bukan pada salah satu sendiri.
Pendiri whitehat Keamanan dan CEO interim Jeremiah Grossman setuju dengan temuan Wang, tetapi juga dengan apa yang perusahaan-perusahaan Internet mengatakan kepadanya.
"Meskipun saya tidak bisa 100 persen yakin, aku berani bersumpah aku telah melihat laporan yang sangat mirip jika tidak identik kerentanan di OAuth. Ia akan muncul masalah ini pada dasarnya adalah sebuah WONTFIX diketahui, "kata Grossman. "Ini adalah untuk mengatakan, itu tidak mudah untuk memperbaiki, dan setiap obat yang efektif akan berdampak negatif terhadap pengalaman pengguna. Hanya contoh lain bahwa keamanan web pada dasarnya rusak dan kekuatan yang akan memiliki sedikit insentif untuk mengatasi kekurangan yang melekat. "
0komentar:
Post a Comment