Encuentran una vulnerabilidad en OAuth y OpenID
Los protocolos Oauth y OpenID nos simplifican la identificación en la red pero, a medida que crece su adopción y popularidad, se vuelve necesario implementar más medidas de seguridad. Ese es el mensaje que nos deja el hallazgo de una vulnerabilidad en estos mecanismos, que permite iniciar sesión sin la intervención del usuario, pudiendo afectar incluso a los servicios de grandes de la red, como Twitter, Google o Facebook.
Se trata de la conocida pero compleja técnica timing attack, implementada en este caso por los investigadores Nate Lawson y Taylor Nelson, que se basa en el tiempo demorado por un servidor para validar los tokens intercambiados. Como los errores son devueltos apenas se detecta un caracter incorrecto, un logueo inválido será más veloz que uno legítimo. Esto hace posible enviar distintas cadenas y determinar su validez gracias a la duración del proceso.
Aunque parece imposible gracias a los diversos parámetros que afectan el tiempo de respuesta de cualquier sitio, como el jitter. Lawson y Nelson aseguraron que pudieron ejecutar estos ataques en distintos entornos. Por ejemplo, de esta misma manera fue hackeada la Xbox 360.
De alguna u otra manera para los propietarios nos deja una enseñanza importante para otras plataformas que consisten en mecanismos similares, al igual que para todo servicio donde la protección de las contraseñas es un detalle crucial, como bancos o tarjetas de crédito.
Los protocolos Oauth y OpenID nos simplifican la identificación en la red pero, a medida que crece su adopción y popularidad, se vuelve necesario implementar más medidas de seguridad. Ese es el mensaje que nos deja el hallazgo de una vulnerabilidad en estos mecanismos, que permite iniciar sesión sin la intervención del usuario, pudiendo afectar incluso a los servicios de grandes de la red, como Twitter, Google o Facebook.
Se trata de la conocida pero compleja técnica timing attack, implementada en este caso por los investigadores Nate Lawson y Taylor Nelson, que se basa en el tiempo demorado por un servidor para validar los tokens intercambiados. Como los errores son devueltos apenas se detecta un caracter incorrecto, un logueo inválido será más veloz que uno legítimo. Esto hace posible enviar distintas cadenas y determinar su validez gracias a la duración del proceso.
Aunque parece imposible gracias a los diversos parámetros que afectan el tiempo de respuesta de cualquier sitio, como el jitter. Lawson y Nelson aseguraron que pudieron ejecutar estos ataques en distintos entornos. Por ejemplo, de esta misma manera fue hackeada la Xbox 360.
De alguna u otra manera para los propietarios nos deja una enseñanza importante para otras plataformas que consisten en mecanismos similares, al igual que para todo servicio donde la protección de las contraseñas es un detalle crucial, como bancos o tarjetas de crédito.
Fuente:
Encuentran vulnerabilidades e OAuth y OpenID
0 comentarios:
Publicar un comentario