Seguindo os moldes da falha Heartbleed, que ocorreu com o OpenSSL no mês passado, uma nova vulnerabilidade foi encontrada nas ferramentas open-source de login OAuth e OpenID, utilizadas por vários sites e gigantes da web, incluindo Google, Microsoft, Facebook e LinkedIn. As informações são do CNET.
Um estudante de PhD da Universidade de Singapura chamado Wang Jing descobriu a séria ameaça "Cover Redirect", que pode se disfarçar de uma janela popup de login no domínio do site afetado pela falha. O Cover Redirect é baseado em um parâmetro já conhecido de exploit.
Funciona assim: se alguém clicar em um link malicioso, será redirecionado a uma janela de login do Facebook, por exemplo, que pede para inserir as credenciais de acesso e autorizar o app. Em vez de usar um falso nome de domínio capaz de enganar os usuários, o Cover Redirect utiliza o endereço verdadeiro do site para autenticação. Se o usuário autorizar o login, seus dados serão enviados imediatamente ao hacker, em vez de serem encaminhados ao site legítimo. Informações como e-mail, data de nascimento, lista de contatos e até controle total da conta podem estar em jogo.
Wang diz já ter entrado em contato com o Facebook para reportar a falha, mas a companhia atestou que "entende os riscos associados ao OAuth 2.0" e que "vai forçar todas as aplicações da plataforma a usar uma whitelist" enquanto tenta consertar esse bug, algo que "não pode ser conseguido em curto prazo".
O Facebook não é o único site afetado. Microsoft, Google e LinkedIn , Yahoo!, PayPal e GitHub também estão na lista.
As dicas para não cair no novo golpe são básicas: cuidado ao clicar em links que pedem imediatamente por login em sites como Google e Facebook. É melhor fechar a aba imediatamente antes de inserir qualquer dado – e, assim, prevenir ataques de redirecionamento.
fonte:
Nenhum comentário:
Postar um comentário