کشف خطاهای امنیتی مهم در OpenID و OAuth

به‌تازگی خطای امنیتی مهمی در هر دو سامانه‌ی احراز هویت OpenID و OAuth کشف شده است که می‌تواند برای مهاجم امکان سرقت داده‌های کاربر را فراهم کند و قربانی را به وب‌گاه‌های ناامن هدایت کند.
در ماه گذشته‌ی میلادی مهم‌ترین خبر امنیتی مربوط به آسیب‌پذیری‌‌ِ Heartbleed بود که روز‌ها در صدر اخبار قرار گرفته بود و اهمیت آن مربوط به گستره‌ی استفاده از نرم‌افزار رمز‌نگاری OpenSSL بوده است.
این‌بار، آسیب‌پذیری مهمی در سامانه‌های احراز هویت OpenID و OAuth که وب‌گاه‌های بزرگی چون گوگل، فیسبوک، LinkedIn، مایکروسافت و غیره از آن استفاده می‌کنند بار دیگر دنیای امنیت را به لرزه درآورده است.
دانشجوی دکترای دانشگاه Nanyang Technological در کشور سنگاپور به نام Wang Jing، به تازگی آسیب‌پذیری مهمی به نام «Covert Redirect» را در سامانه‌های احراز هویت مذکور کشف کرده است
نحوه‌ی کار این آسیب‌پذیری به این شکل است که قربانی با کلیک بر یک پیوندِ فیشینگ که از طریق رایانامه دریافت کرده است، یک پنجره‌ی بالاپر1 در مرورگر خواهد دید که از وی می‌خواد به منظور احراز هویت اطلاعات کاربری خود را وارد کند، بسته به‌ این‌که پیوند مربوط به چه وب‌گاهی باشد، کاربر دقیقاً آدرس وب‌گاه‌ها مانند فیسبوک و گوگل را مشاهده خواهد کرد. به محض تایید اطلاعات کاربر، اطلاعاتی که وی در این پنجره وارد کرده است، به سمت مهاجم ارسال خواهد شد.
البته نکته‌ی مهم این است که حتی اگر کاربر دکمه‌ی تایید اطلاعات را نزند، به سمت وب‌گاهی که مهاجم می‌خواهد هدایت می‌شود که می‌تواند به صورت بالقوه رایانه‌ی قربانی را آلوده کند.
Wang می‌گوید وی با شرکت فیسبوک تماس گرفته و اطلاعات این آسیب‌پذیری را گزارش داده است، اما فیسبوک در پاسخ این مشکل را مربوط به سامانه‌ی احراز هویت OAuth 2.0 دانسته و رفع خطاهای امنیتی آن را در کوتاه مدت غیرممکن گزارش داده است.
 فیسبوک به وی پیش‌نهاد داده است تا برای تمام نرم‌افزار‌های موجود در سکوی مورد استفاده‌ی خود از یک لیست سفید استفاده کند که امکان احراز هویت به نرم‌افزار‌های غیرمجاز از دست‌رس خارج شود.
Wang هم‌چنین این مشکل را به گوگل، LinkedIn، مایکروسافت نیز گزارش داده است و پاسخ‌های متعددی برای مقابله با این مشکل دریافت کرده است.

گوگل که از سامانه‌ی OpenID استفاده می‌کند‌، در پاسخ عنوان کرده است که در حال پیگیری این مشکل می‌باشد و سایر وب‌گاه‌ها نیز با وعده در مورد هشدار به کاربران و یا عدم قبول مسئولیت در مقابل این آسیب‌پذیری، مشکل را به سامانه‌های احراز هویت مربوط دانسته‌اند.
اگرچه این آسیب‌پذیری زمانی خطرناک می‌شود که کمپین حملات هدف‌مند به سوء‌استفاده از آن بپردازند، اما از آن‌جایی که هیچ وصله‌ای برای آن وجود ندارد، بسیار خطرناک خواهد بود و البته کافی‌ست به تعداد کاربرانی که هر روزه از سرویس‌های آسیب‌پذیر استفاده می‌کنند نیز اشاره‌ای داشته باشیم که روشن شود این آسیب‌پذیری می‌تواند دنیای اینترنت را با خطرات جدیِ سرقت اطلاعات مواجه کند.