感覺有點像我們正在重溫“Heartbleed”事件:發現了一個巨大的安全漏洞,令人震驚的文章,一個漂亮的標誌。但顯然,我們離目標還很遠。日前,新加坡南洋大學學生王靜發表了他的偉大發現。他發現了一個影響所有主要網路參與者的漏洞:Facebook、Google、雅虎、LinkedIn、微軟、Paypal 等。
他將其命名為“隱蔽重定向”並創建了一個網站他詳細描述了他的剝削,同時指出這將是“修補困難”。這個故事立即被美國網站 Cnet 轉載,並將其與著名的 OpenSSL 缺陷進行了比較。從那時起,它就一直在網路上流傳。
透過修改 URL 來欺騙用戶
這是關於什麼的? Jing Wang 分析了網路參與者在第三方網站或應用程式上對使用者進行身份驗證的機制。這種類型的設備非常普遍,因為它允許您在使用少量標識符的情況下連接到大量線上服務。這種類型的服務在 Facebook 稱為“Connect”,在 Twitter 和 Google 稱為“Sign-In”等。它依賴 OpenID 或 OAuth 2.0 協定。
然而,事實證明,身份驗證器服務和第三方提供者之間的交換可能會被駭客攻擊。透過使用精心設計的 URL,網路犯罪分子可以從使用者那裡恢復一系列個人數據,甚至獲得對其帳戶的存取權限。
但幾天后,幾位安全專家開始反對它。為了賽門鐵克,這個缺陷不是“絕對不是”與《心血》相當。這涉及全球近 5 億個網站,並且可以透過向伺服器直接請求來利用。“另一方面,透過隱藏重定向,攻擊者必須找到易受攻擊的[第三方]應用程式並啟動與用戶的互動”來困住他。這仍然限制了風險。
就安全專家而言丹尼·索普– 他也分析了這個缺陷 – 認為消除風險並不那麼複雜:第三方服務提供者正確實施 OpenID 和 OAuth 2.0 協定就足夠了,尊重一定數量的安全措施(例如不允許不受控制的 HTML在身份驗證過程中重定向)。他在推文中估計,相關網站代表了“不到 1% 的網路”。
的意見約翰·布拉德利另一位幫助創建 OpenID 的安全專家的言論更加嚴厲。「我在這一切中沒有發現任何新東西。這是一種眾所周知的攻擊,每個人都能很好地抵禦,也許 Facebook 除外(…)我希望王靖能享受他在這個主題上讓人們興奮的成名時刻,但我不會給他任何認可。他所做的工作”,他解釋道。
總之,靖王好像拿了件外套…
另請閱讀:
谷歌加入身分識別服務之戰,於 28/02/2013
