Kaleidoscope - InZeed

- Science, Technology, Article, Music, Poem, Essay, etc ...

Covert Redirect Mengancam OAuth 2.0 dan OpenID

Pada Jumat lalu, Wang Jing, seorang mahasiswa program PhD di Nanyang Technological University di Singapura, menerbitkan sebuah laporan yang memjabarkan tentang metode serangan yang disebut dengan “Covert Redirect” dan memperkenalkannya sebagai kerentanan atau vulnerable di OAuth 2.0 dan OpenID.

 

world-wide-web

 

Cara kerja OAuth 2.0 dan OpenID sendiri adalah dengan memberikan akses bagi pengguna layanan ini untuk mendapatkan domain yang dapat mengakses menggunakan kredensial yang telah ada kepada website lain seperti Facebook, Google, Microsoft atau LinkedIn. Dengan akses yang didapatkan pengguna layanan ini dapat menghapus sebuah akun dan menggantinya dengan akun yang baru.

 

Misalnya, seseorang mengklik link phishing berbahaya akan mendapatkan jendela popup di Facebook, meminta mereka untuk mengotorisasi app. Alih-alih menggunakan nama domain palsu yang mirip dengan mengelabui pengguna, cacat Terselubung Redirect menggunakan alamat situs nyata untuk otentikasi.

 

Jika pengguna memilih untuk mengotorisasi log in, data pribadi (tergantung pada apa yang diminta untuk) akan dirilis untuk penyerang bukan ke situs yang sah. Hal ini dapat berkisar dari alamat email, tanggal lahir, daftar kontak, dan kontrol bahkan mungkin account.

 

Terlepas dari apakah korban memilih untuk mengotorisasi aplikasi, ia kemudian akan mendapatkan diarahkan ke situs pilihan penyerang, yang berpotensi lebih membahayakan korban.

 

Wang mengatakan ia telah menghubungi Facebook dan telah melaporkan cacat, tapi diberitahu bahwa perusahaan “memahami risiko yang terkait dengan OAuth 2.0,” dan bahwa “singkat memaksa setiap aplikasi pada platform untuk menggunakan daftar putih,” memperbaiki bug ini adalah “sesuatu yang tidak dapat dicapai dalam jangka pendek.”

 

Facebook bukan satu-satunya situs yang terkena. Wang mengatakan ia telah melaporkan hal ini kepada Google, LinkedIn, dan Microsoft, yang memberinya berbagai tanggapan tentang bagaimana mereka akan menangani masalah ini.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Kaleidoscope - InZeed © 2015 Frontier Theme