別の日、別の重大なインターネット セキュリティ上の欠陥 (脇に置いて、ハートブリード)。 Google、Facebook、その他の主要なアカウントを使用して Web サイトにログインできるようにする 2 つの認証プログラムである OpenID と OAuth 2.0 にバグが見つかりました。このセキュリティ上の欠陥について知っておくべきことは次のとおりです。
OpenID と OAuth とは何ですか?
以前に説明したように、OAuth (およびその代替 OpenID) を使用すると、別のアカウントを作成したり、アプリに必要以上の許可を与えたりすることなく、Google、Twitter、Facebook、またはその他の認証情報を使用してサイトやアプリにログインできます。 OAuth と OpenID は本質的に、サイトであなたを認証するか、あなたが誰であるかをサイトに伝えて、ユーザー名とパスワードを入力せずにログインできるようにします。
OAuth と OpenID は、サイトへのログインを簡単にする (そしてウェブマスターが独自のログイン システムを維持する必要がない) ため、LinkedIn、PayPal、Yahoo などのサイトでウェブ全体で広く使用されています。
この新たな脆弱性とは何ですか?
実際には新しい脆弱性ではないかもしれませんが、南洋理工大学の博士課程の学生、Wang Jing によって発見されたばかりです。 「Covert Redirect」の脆弱性と呼ばれるこの脆弱性により、ハッカーは悪意のあるフィッシング リンクを使用してユーザーをだましてアプリやサイトを認証させることができます。たとえば、サイトにアクセスしてボタンをクリックして Google または Facebook にログインすると、見慣れた認証ポップアップが表示されます。ログインを許可すると、個人データがサイトではなくハッカーに送信される可能性があります。これには、電子メール アドレス、連絡先リスト、誕生日などが含まれます。この脆弱性により、類似した別の Web サイトにリダイレクトされる可能性もあります。
おそらく最も恐ろしいのは、この Covert Redirect の欠陥は、より精通したサーファーによって発見される可能性のある偽のドメインを使用せず、代わりにログインしようとしている実際のサイト アドレスを使用することです。したがって、検出するのは非常に困難です。
それについてできること
残念ながら、CNET は、サイトがこの問題を修正するのは簡単ではなく、サードパーティのサイトには修正する「動機」がほとんどないと報告しています。
ウェブサイトセキュリティ会社ホワイトハットセキュリティの創設者兼暫定最高経営責任者(CEO)ジェレミア・グロスマン氏は、データを検討した後、ワン氏の調査結果に同意した。
100% 確信を持つことはできませんが、OAuth に同一ではないにしても非常によく似た脆弱性に関するレポートを見たことがあると断言できます。この問題は本質的に既知の WONTFIX であると思われます」とグロスマン氏は述べています。
つまり、修正するのは簡単ではなく、効果的な解決策はユーザー エクスペリエンスに悪影響を及ぼす可能性があります。 Web セキュリティが根本的に壊れており、権限を持った人々が固有の欠陥に対処する動機がほとんどないことを示すもう 1 つの例にすぎません。」
詳細が判明するまでは、Twitter、Google、または Facebook を使用してサイトにログインする場合は特に注意することをお勧めします。 CNET がアドバイスしているように、リダイレクト攻撃を防ぐために、すぐにログインしてウィンドウを閉じるように要求するリンクに注意してください。いつものように、アクセスするサイトやリンクには注意してください。
