openid

openid

Software

Una vulnerabilidad en el inicio de sesión Oauth y OpenID irreparable por Google, Microsoft y Facebook

2 mayo, 2014 19:15

Noticias relacionadas

Heartbleed ha puesto en un buen jaque a la seguridad dentro de la red: pocas páginas han estado a salvo de la vulnerabilidad nombrada como CVE-2014-0160, y parece que aunque ya ha sido erradicada todavía quedan ríos de tinta para hablar sobre ella. El caso es que puede que esto no sea lo único, porque se ha descubierto una vulnerabilidad bastante seria en OAuth y OpenID, servicios de los que depende la autenticación de sitios como Google, Facebook y Microsoft. Vamos, no son especialmente pequeños y los datos de millones de personas y cuentas de usuarios están en juego a raíz de este fallo de seguridad.

Para ser exactos, el fallo de seguridad radica en que un sitio web malicioso puede aprovechar esta vulnerabilidad para utilizar un sitio real de tal forma que autorice las solicitudes falsas de información personal. Y lo peor de todo es que, cuando nos pida permiso para hacerlo, la pantalla que lo hará será de la página web genuina, lo cual hace mucho mas complicado saber que estamos en medio de un ataque. Ha sido descubierto por Wang Jing, desarrollador en Singapore, aunque otros tantos analistas afirman que esta vulnerabilidad no es nueva y que se trata de un problema del Internet como un entero.

facewashsocialscrubber2

facewashsocialscrubber2

Un fallo de seguridad que no se va a solucionar… por ahora

Antes de hacerlo público, el propio Jing ha estado tratando de avisar a todos estos sitios para que resolvieran el problema cuanto antes, pero en general la respuesta ha sido un “no es nuestra responsabilidad”. En Google están siguiendo el problema de cerca, Facebook afirma estar al tanto pero afirma que “no es algo que se pueda solucionar a corto plazo”, y Microsoft se ve incapaz de resolver un problema que radique en una tercera parte. Por el momento lo único que podemos hacer como usuarios es tratar de verificar todos los enlaces que sigamos y que nos pidan identificarnos en alguno de estos servicios, pero parece que este problema nos va a dar para mucho mas.

Fuente | Engadget