إكتشاف ثغرة حرجة في خدمة OAuth وOpenID

إكتشاف ثغرة حرجة في خدمة OAuth وOpenID

إكتشاف ثغرة جديدة واسعة المدى تهم وحدات الإتصال التي تعتمد بروتوكول OAuth و OpenID حيث وبعد الضجة التي أحدثتها ثغرة Heartbleed التي تمس خوادم المواقع التي تستخدم برتوكول الأمان TSL من خلال OpenSSL، حيث ظهرت في الأونة الأخيرة ثغرة جديدة في عالم النت تتحكم في وحدات الإتصال التي تستعمل OAuth2.0 أو OpenID إكتشافها طالب من جامعة سنغافورة يدعى وانغ جينغ.

حتى يومنا هذا العديد من خدمات الإنترنيت تقترح على مستخدميها الولوج من خلال حساب كطرف ثالث بُغْيَةَ الحصول على المزيد من الميزات، فميكرسوفت؛ مثلا تقترح  الإتصال بحسابات جوجل وفيسبوك لمزامنة جهات الاتصال مع Outlook.com أو لتفعيل  المراسلة الفورية. أما تطبيق Spotify فيقترح إنشاء بروفايل عن طريق تحميل المعلومات من الفيسبوك.

الخلل الأمني الذي نتحدث عنه يسمح للهاكر بإرسال الضحية إلى موقع احتيالي وتقديم الپوپ آپ اتصال كلاسيكي؛ بدلا من تقديم URL كاذبة؛ الپوپ آپ يظهر الدومين المشروع للمزود المعلومات، على سبيل المثال الفيسبوك. ومع ذلك، يتم تعديل هذا العنوان ليحتوي أيضا على إعادة توجيه إلى موقع احتيالي آخر. هدا الأخير الذي يخصَّصُ لإسترجاع  الشهادة المسترَدَّة  من فيسبوك والتي لها كافة الأذونات لجمع المعلومات الحساسة سواء كان ذلك عنوان البريد الإلكتروني، قائمة اتصال...واعتمادا على حقوق الولوج التي يطلبها  القراصنة، فإنه يمكن أن يقوم حتى بإدارة البيانات الشخصية للضحايا دون علمهم. 

 فحسب قول م.جينغ فمن بين المواقع التي يحتمل تضَرُّرُها Live.com, Facebook, Google, LinkedIn, Paypal، Weibo, Mail.ru... و يؤكد أنه قام بإخبار الرائديين الرئيسيين OAuth/OpenID عن هذا الضعف، ومع ذلك فإن الثغرة لا تملك حلا فوريا. فيسبوك تعتقد أن هذه المشكلة لا يمكن تصحيحها على الفور؛في حين  إعترف جوجل بأنه على علم بالثغرة و يقوم بتحليل الوضع في الوقت الذي افتتحت مايكروسوفت التحقيق وقال أنه لم تُكتشِف أي مشكلة على Loging.live.com

للمعرفة تفاصيل أكثر عن هذه الثغرة شاهد الڤيديو أسفله