Covert Redirect, el Heartbleed para los protocolos Oauth y OpenID

A estas alturas estoy seguro que si lees Heartbleed inmediatamente te saltan cientos de noticias a la cabeza, donde han estado hablando en todo Internet de su vulnerabilidad crítica del lado del servidor y que afectaba a millones de sitios.

Pues si ya con este fallo de seguridad estábamos más que saturados de alarmas, no bajes la guardia ya que han descubierto un fallo de seguridad  similar pero para los protocolos  OAuth y OpenID.

Recordemos que OAuth y OpenID son los protocolos ampliamente utilizados para iniciar sesión en los sitios web utilizando credenciales sociales.

Ambos protocolos al igual que OpenSSL  de código abierto lo que significa que si han pillado el fallo, son muchos los hackers que pueden estar empezando a explotar esa vulnerabilidad y esta vez obteniendo datos sensibles para muchos usuarios.

El estudiante de Doctorado Wang Jing desde una universidad en Singapur, es quien ha dado con esta vulnerabilidad que ha bautizado como «Covert Redirect» y que logra lanzar una ventana emergente (pop-up) que haga parecer que es Facebook y solicite la credencial del usuario (usuario y contraseña) que terminaran en manos de los ciberdelincuentes.

Además la cosa se complica porque el enlace final parece que esta apuntando al sitio de Facebook, pero lo cierto es que no hay manera de descubrirlo de forma sencilla.

El descubridor de la vulnerabilidad ha dado a conocer el fallo a empresas como: Google, Microsoft y Facebook, pero claro el problema no es de estás empresas si no de los creadores de esos protocolos.

Así que esta trama pica y se extiende con más protocolos que se han dejado de lado una prueba de software, que hubiese evitado todos estos males que hoy están pasando (desarrollador y tester no pueden ser la misma persona, reglas básicas de QA).

Vía: CNET

Categorías

About Gustavo Martinez

Phd. en computación, Senior Bloguer, Amante de la tecnología móvil, aplicaciones web, educación online.

Una respuesta en Covert Redirect, el Heartbleed para los protocolos Oauth y OpenID

  1. Pingback: Bitacoras.com

Deja una respuesta

Por favor, usa tu nombre real en vez de un nick.

Time limit is exhausted. Please reload CAPTCHA.