Falsificação de endereços na web

Os especialistas da IBM descobriram vários problemas na execução da autenticação de login social de vários provedores de identidade.

Os pesquisadores da segurança X Força da IBM descobriram uma maneira de obter acesso às contas da Web através da exploração de configuração incorreta em alguns serviços de login sociais.

O login social , também conhecido como social, single sign-in, é uma forma de  single sign-on  usando credenciais existentes a partir de um serviço de rede social como o Facebook, Twitter ou Google+ para acessar um terceiro serviço web festa. O login Sociais melhorar a experiência do usuário, simplificando logins para o processo de autenticação.

O login social é muitas vezes realizado com o  OAuth  padrão, sites que implementam a função de fornecer clássico "Faça login no Facebook / LinkedIn / etc.", que permitem que seus usuários façam login usando, por exemplo, as suas credenciais do Facebook LinkedIn.

Os especialistas da Força X da IBM descobriram que é possível ganhar o controle de contas em vários sites, incluindo Nasdaq.com, Slashdot.org, Crowdfunder.com e outros por abusar login mecanismo social LinkedIn.

Como explicado por Or Peles e Roee Hay da IBM Security Systems, explicou que o ataque que eles batizaram SpoofedMe funciona em muitos outros serviços de identidade.

"Em suma, para realizar o ataque, um cibercriminoso registra uma conta falsificado dentro de um provedor de identidade vulnerável usando o endereço de e-mail da vítima. Em seguida, sem ter de confirmar na verdade propriedade do endereço de e-mail, o atacante irá registrar -se para o site utilizando o login sociais contando com esta conta falsa. O site contando irá verificar os detalhes do usuário afirmadas do provedor de identidade e registrar o atacante para a conta da vítima com base no valor do endereço de e-mail da vítima. "estado do post de da IBM Força X

O post inclui uma PoC vídeo relacionado a um ataque que abusos LinkedIn para falsificar uma conta no provedor de identidade vulnerável. O atacante cria uma conta com o LinkedIn, usando o endereço de e-mail da vítima. LinkedIn irá enviar um e-mail de verificação para a conta da vítima para garantir o que ele tem o controle do endereço de e-mail fornecido na criação da conta.

Uma vez que o atacante criou a conta LinkedIn ele vai usá-lo para fazer o login no Slashdot através do recurso de login sociais, selecionando LinkedIn como o provedor de identidade. O problema é que os provedores de identidade não passar as credenciais do usuário para o site de terceiros, transferindo apenas informações como um endereço de e-mail.

LinkedIn, Amazon e Vasco, todos os provedores de identidade, têm todos fixos ou tomado medidas para evitar tais aquisições de contas, após a notificação da IBM, disseram os pesquisadores. Mas o problema é que ambos os provedores de identidade e sites de terceiros que utilizam esses serviços devem estar conscientes.

O ataque que os abusos LinkedIn é demonstrado em um vídeo incluído em um  post de blog . O atacante cria uma conta com o LinkedIn, usando o endereço de e-mail da vítima.

LinkedIn irá enviar um e-mail de confirmação para a vítima para garantir que a pessoa tem o controle sobre o endereço. Mas para fins do atacante, isso não importa.

Depois que a conta LinkedIn é criado, o atacante vai para Slashdot e usa o recurso de login sociais, selecionando LinkedIn como o provedor de identidade. Provedores de identidade não passam junto com as credenciais de uma pessoa para o site de terceiros, mas não transferir informações, como endereço de e-mail.

O site Slashdot.org então verifica o endereço de e-mail da vítima que foi passado a ele pelo LinkedIn para a conta existente, permitindo que o invasor controlar a conta. A conta poderia, então, ser usado para postar links maliciosos, com pessoas que acreditam um contato confiável publicou o conteúdo.

Esteja ciente, o ataque só funciona se a vítima ainda não tiver uma conta com um provedor de identidade. As falhas no processo de login social são:

Slashdot.org não deve confiar no endereço de e-mail a menos que o provedor de identidade sabe que foi verificada.
O provedor de identidade não deve passar os dados do usuário até o endereço de e-mail foi confirmado.
Entrada social falha 2

Os especialistas explicaram LinkedIn resultou vulnerável porque usou uma versão obsoleta do protocolo OAuth para login social. LinkedIn também pode usar o OAuth 2.0, que não é afectada por uma falha no processo de autenticação.

O problema é que a maioria dos sites analisados ​​pelos peritos usa a versão vulnerável do LinkedIn como um provedor de identidade.

Os pesquisadores descobriram uma questão de segurança semelhante na Amazônia implementação de login social. LinkedIn, Amazon e Vasco já resolveram o problema após a notificação da IBM.

Pierluigi Paganini