Наша взаимовыгодная связь https://banwar.org/
Сьогодні, коли минуло менше місяця з виявлення небезпечної уразливості Heartbleed , Звичайний відвідувач Інтернету на кшталт вас або мене відразу напружиться, почувши про черговий широко поширеному баге, який нелегко виправити. На жаль, саме цей опис підходить до уразливості «Прихована переадресація», про яку недавно написав Он Цзінь, аспірант кафедри математики Сінгапурського технологічного університету в Нан'янге. Проблеми були виявлені в популярних інтернет-протоколах OpenID і OAuth. Перший застосовується, коли ви входите на якісь веб-сайти за допомогою свого логіна і пароля від Google, Facebook, «ВКонтакте» і так далі. Другий грає важливу роль, коли ви дозволяєте додатків, сайтам або сервісів доступ до свого профілю в соцмережі, що не відправляючи при цьому в сторонні сервіси свого імені і пароля від соцмережі. Ці дві технології зазвичай використовуються разом і, як з'ясовується, можуть передати ваші дані в чужі руки.
Загроза
Наші колеги з сайту Threatpost описали вразливість у всіх технічних подробицях, але ми опустимо непотрібні користувачеві деталі і лише опишемо типовий сценарій атаки і можливі наслідки. Спочатку користувача заманюють на фішингових сайтів , Який оснащений типовими кнопками «Увійти через Facebook» або «Авторизуватись через Google». Підроблений сайт може нагадувати популярний сторонній сервіс або видавати себе за абсолютно новий. При натисканні на кнопку «Увійти» з'являється спливаюче вікно від справжнього Facebook або «ВКонтакте», що пропонує ввести логін і пароль або (якщо користувач вже увійшов в соцмережу) просто дати доступ до свого профілю. При цьому у спливаючому вікні вказано, що доступ запитаний справжнім сайтом, тобто все виглядає чинно і благородно. Але потім авторизація та дозвіл на доступ до профілю відправляються на невірний (фішингових) сайт за допомогою тієї самої переадресації. В результаті зловмисник отримує ключ доступу (токен OAuth) до призначеного для користувача профілю, причому у нього будуть ті ж права, які має оригінальний додаток / сервіс, сайт якого було підроблено. У кращому випадку це будуть тільки базові дані про користувача, а в гіршому - можливість зчитувати контакти жертви, розсилати їм повідомлення і так далі.
Діра залатати? На жаль немає
Дана загроза, ймовірно, не скоро зникне з обрію, оскільки вирішувати проблему потрібно одночасно і у провайдера авторизації (Facebook / LinkedIn / Mail.ru та ін.), І у сайту, який нею користується. Протокол OAuth до сих пір не вийшов з бета-версії, і різні провайдери використовують різні його варіанти, які відрізняються за своєю здатністю протистояти атаці. LinkedIn був в кращій позиції і зміг вирішити проблему радикально, змусивши розробників, які співпрацюють з платформою, створити «білий список» посилань переадресації. Сьогодні будь-який додаток або сайт, що використовують профіль LinkedIn для входу, або безпечні, або зовсім не працюють, оскільки LinkedIn відключив від системи сервіси, що не оновилися. У Facebook справи йдуть інакше, оскільки і сторонніх додатків на порядок більше, і версія OAuth, ймовірно, менш свіжа. Тому представники Facebook відповіли Цзінь, що введення подібного довіреної списку - «не те, чого можна досягти за короткий час».
Технології OpenID використовуються не тільки згаданими провайдерами, а й багатьма іншими. Цзінь протестував найпопулярніші сайти, за допомогою яких можна підключитися до інших сервісів, і визначив, що багато хто з них уразливі. Якщо ви користуєтеся одним із сервісів з картинки, необхідно вжити заходів.
Що робити
Для самих обережних найбільш надійним рішенням буде відмовитися від використання OpenID і зручних кнопок «Увійти за допомогою ...» на кілька місяців. Заодно цей спосіб підвищує ступінь вашої конфіденційності, оскільки через зручні кнопки соцмереж простіше стежити за вашими переміщеннями по різних сайтах, а самим сайтам - отримувати від соцмереж демографічні дані про вас.
Щоб уникнути клопотів із запам'ятовуванням десятків (а то й сотень) паролів від різних сайтів, можна нарешті почати користуватися ефективним менеджером паролів . Багато сервісів такого роду сьогодні багатоплатформності і підтримують хмарну синхронізацію, завдяки чому ваша база паролів доступна на будь-якому вашому пристрої.
Але якщо ви плануєте продовжити користування OpenID, в цьому немає прямої і негайної загрози. Вам лише доведеться бути дуже пильними і уникати будь-яких фішингових схем , Які зазвичай починаються з тривожного листа у вхідних або провокаційної посилання в FB або інший соцмережі. Якщо ви входите в якийсь сервіс за допомогою Facebook / Google / »ВКонтакте», переконайтеся, що ви відкриваєте сайт сервісу вручну або через закладки, а не за посиланням, яка надіслана в пошту або «Вхідні» месенджера. Двічі перевіряйте адресний рядок і не відвідуйте сумнівні сайти. Чи не підписуйтесь на нові програми та сайти через FB / ВК і інші OpenID-сервіси, якщо ви впевнені в репутації сайту / додатка менше ніж на 100% або неточно знаєте правильний веб-адреса сайту. Також користуйтеся додатком для захищеного веб-перегляду, наприклад Kaspersky Internet Security для всіх пристроїв, яке запобігає відвідування небезпечних сайтів, в тому числі фішингових.
Все це лише звичайні тренування обережності, які повинні бути повсякденною справою для кожного інтернет-користувача. Адже фішингові загрози дуже популярні і, на жаль, ефективні, приводячи до всіх видів «цифрових втрат» - від кредитних карт до логінів до пошти. «Прихована переадресація» в OpenID і OAuth всього лише ще один резон практикувати цю повсякденну безпеку і не робити ніяких винятків.
Діра залатати?