BM обнаружили проблемы

[Stone 47]

IBM обнаружили проблемы в реализации аунтентификации социальной авторизаций нескольких поставщиков доков

 

Исследователи безопасности IBM, X Force обнаружили способ, чтобы получить доступ к веб-счетов, используя неверные настройки в некоторых служб социальной входа в систему.

Социальная Войти , также известный как социальная единого входа в, является форма единого входа с использованием существующих учетных с социальной сети, такие как Facebook, Twitter или Google+, чтобы получить доступ к сторонних веб-службы. Социальная Войти улучшить пользовательский опыт, упрощая логины для процесса аутентификации.

 

Социальная Войти как правило, осуществляется с OAuth стандарт, веб-сайты, которые реализуют это предлагают классический функцию "Вход с Facebook / LinkedIn / др.», которые позволяют их пользователям войти, используя, например, их LinkedIn на Facebook полномочия.

Эксперты X группы IBM обнаружила, что это возможно, чтобы получить контроль счетов в различных веб-сайтах, в том числе Nasdaq.com, Slashdot.org, Crowdfunder.com и других, злоупотребляя механизм социальной логин в LinkedIn.

Как пояснил Или Пэлэс и Roee сена IBM Security Systems, объяснил, что атака, они окрестили SpoofedMe работает на многих других услуг, удостоверяющих личность.

 

"Короче говоря, чтобы выполнить атаку, злоумышленникрегистрирует поддельный аккаунт в уязвимом поставщика личность, используя адрес электронной почты жертвы. Затем, не имея на самом деле подтвердить право собственности на адрес электронной почты, злоумышленник будет войти в к полагающейся сайт с помощью социальной логин с этим поддельным счет. Опираясь сайт будет проверять пользовательские данные заявленные от провайдера идентификации и регистрации злоумышленника и счета жертвы на основе стоимости адрес электронной почты жертвы. "состоянииблога от IBM, X группы

Сообщение включает в себя видео PoC, связанные с нападением, что нарушения LinkedIn фальсификацию учетную запись на уязвимой удостоверений. Злоумышленник создает учетную запись с LinkedIn, используя адрес электронной почты жертвы. LinkedIn будет отправить письмо с подтверждением счета жертвы, чтобы обеспечить него есть контроль над электронный адрес, указанный при создании учетной записи.

После того, как злоумышленник создал учетную запись LinkedIn он будет использовать его для входа в Slashdot с помощью функции социальной авторизации, выбрав LinkedIn в качестве поставщика удостоверений. Проблема в том, что поставщики личность не передавать учетные данные пользователя на сайт третьей стороны, передавая только информацию, такую ​​как адрес электронной почты.

 

LinkedIn, Amazon и Васко, все провайдеры, удостоверяющие личность, все фиксированными либо принимать меры по предотвращению таких счетов поглощений, после уведомления от IBM, говорят исследователи. Но проблема заключается в том, что оба провайдера идентичности и сторонние веб-сайты, использующие эти услуги должны быть в курсе.

Атака, что нарушения LinkedIn показано в видео включены в блоге .Злоумышленник создает учетную запись с LinkedIn, используя адрес электронной почты жертвы.

LinkedIn будет отправить письмо с подтверждением жертвы, чтобы обеспечить человека есть контроль над адресу. Но для целей злоумышленника, это не имеет значения.

 

После того, как счет LinkedIn создан, злоумышленник идет на Slashdot и использует функцию социального входа в систему, выбрав LinkedIn в качестве поставщика удостоверений. Поставщики идентичности не проходят вместе с учетными человека в сайте третьей стороны, но передать информацию, такую ​​как адрес электронной почты.

То сайт Slashdot.org проверяет адрес электронной почты жертвы, которая была передана ей LinkedIn к учетной записи, что позволяет злоумышленнику контролировать счет. Счет, то можно было бы использовать для размещения вредоносных ссылок, с людьми, полагая, надежных контактов размещены содержание.

 

Будьте в курсе, атака будет работать, только если пострадавший не уже есть учётная запись с провайдером идентификационной информации. Недостатки в процессе социальной авторизации являются

• Slashdot.org не должны доверять адрес электронной почты, если провайдер идентификации не знает, что это была проверена.
  
• Поставщик идентичность не должна передавать данные пользователя, пока адрес не был проверен.
  

 

Эксперты пояснили, LinkedIn результате уязвимы, потому что он использовал устаревший версию протокола OAuth для социальной входе в систему. LinkedIn также можете использовать OAuth 2.0, который не влияет недостаток в процессе аутентификации.

Проблема в том, что большинство веб-сайтов, проанализированных экспертами использует уязвимой версии LinkedIn в качестве поставщика удостоверений.

Исследователи обнаружили аналогичный вопрос безопасности в бассейне реки Амазонки реализации социальной входа в систему. LinkedIn, Amazon и Васко уже исправили недостаток после извещения от IBM.