Pesquisa aponta falhas em serviços de rede single sign-on
Conforme mais empresas incorporam esquemas single sign-on (SSO), por meio de provedores de serviço de rede como o Google e o Facebook, novas pesquisas sugerem que elas devem planejar melhor a implementação de APIs SSO para não deixar os usuários abertos a ataques. A Microsoft Research encontrou falhas lógicas preocupantes no serviço para Facebook, Google ID, PayPal e outros que ameaçam um grande número de usuários online.
Apesar de cada falha ter suas próprias características, todas as oito detalhadas no relatório (PDF) têm algo em comum. ?Elas permitem que o atacante se inscreva no site como se fosse a vítima usando o serviço SSO mesmo sem conhecer a senha?, afirmou Dr. XiaoFeng Wang, professor de ciência da computação na Universidade de Indiana em Bloomington e coautor do relatório com Rui Wang e Shuo Chen.
Wang e sua equipe esperam que a pesquisa seja um aviso tanto para os desenvolvedores de sites que usam o serviço tanto quanto os provedores, entre os quais parece haver um desentendimento sobre quem é responsável por proteger melhor o aplicativo. Além disso, há o fato de que o SSO passa pelos navegadores, cujo comportamento é muito complicado. ?Os executivos de TI devem conhecer o risco de segurança que acompanha a conveniência do SSO.
A maioria dos problemas descobertos até agora podem ser corrigidos por meio da integração correta por parte do site. Em outras palavras, se o desenvolvedor incorporar os serviços cuidadosamente, o SSO pode ser mais seguro. Para conseguir isso, também esperamos a ajuda do provedor de serviço. ?Eles precisam oferecer bom suporte de integração, incluir documentação bem-especificada, verificar o código de segurança do template e outros suportes para ajudar seus clientes durante o processo de integração, que, de acordo com nossas descobertas, são fáceis de saírem errados?.
Segundo o relatório, muitos dos problemas associados são resultados da idiossincrasia dos métodos de integração de APIs, SDKs e exemplos de códigos oferecidos pelo provedor de identidade.
Os protocolos atualmente são uma ?diretriz frouxa? e as empresas que utilizam APIs dos provedores tendem a dobrar o protocolo ?para integrar o SSO em seus sistemas?, afirma o relatório. Segundo Nishant Kaushik, diretor de arquitetura da Identropy, as descobertas apontam para a necessidade de melhores práticas de API como sendo essencial na arquitetura de rede de hoje.
?Não é suficiente que um serviço publique uma API e uma guia de como usar e não tenha responsabilidade pelo modo como ele é usado. E com o papel dos provedores de identidade no panorama de segurança, eles têm agora uma maior obrigação de assegurar a proteção das identidades e as credenciais dos usuários, mesmo que apenas em um ecossistema, como é o caso do Facebook?, afirmou Kaushik.
Conforme o sistema é usado em sites que se dedicam ao varejo e outras transações monetárias, as barras de segurança continuarão a subir. Apesar de o serviço ser conveniente, há grandes riscos até que sejam totalmente controlados.
?Federation e SSO são projetados para facilitar a vida do usuário, não melhorar ou mesmo manter a segurança de suas transações. A conveniência do logon tem seus custos e com os serviços gratuitos de autenticação, você recebe pelo que paga. Esses sistemas não foram inicialmente projetados e protegidos para transações financeiras. Além disso, há muito pouco ou nenhum controle sobre a segurança de suas implementações. A lição a ser aprendida é que muitas soluções com base na nuvem para autenticação e segurança devem ser tratadas como inseguras na maioria dos casos?, afirmou Phil Lieberman da Lieberman Software.
As falhas descritas no relatório foram levadas aos provedores de serviços afetados. Mas a equipe de pesquisa acredita que devido às vulnerabilidades únicas causadas pela má execução por parte dos operadores de sites individuais, a comunidade de segurança precisa realizar mais testes em toda a indústria. Para ajudar as empresas durante o processo, os pesquisadores lançarão um site que oferecerá ferramentas gratuitas de testes para avaliar suas implementações.
Ao mesmo tempo, Wang diz que espera que os provedores de serviço incorporem as descobertas do relatório. ?Alguns provedores SSO já publicaram alertas de segurança com base em nossas descobertas para a comunidade. Esperamos que eles entendam os desafios de segurança que seus clientes enfrentam quando integram seus serviços e ofereçam suporte técnico e documentação detalhada para ajudar a segurar o recurso?, finalizou Wang.
Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini
