A OpenID Foundation divulgou na última semana um boletim de alerta de segurança de um bug sério que deixa o mecanismo de autenticação – usado por sites para compartilhar credenciais de identidade de usuários – aberto a ataques. Em especial, algumas implementações de troca de atributo não verificam que a informação passada pelo AX foi assinada.
De acordo com o OpenID “se o site só usar o AX para receber informação de baixa segurança, como a autoafirmação do usuário, não há problema. Entretanto, se o site usa a assinatura para receber informação e só confia no provedor de identidade para afirma-la, então ele cria o potencial para um ataque”.
Segundo a OpenID Foundantion, não foi percebido nenhum ataque que explorasse essa falha. Mas há a ameaça de que um invasor possa usá-la para modificar a informação passada entre as partes e personificar um usuário.
A organização sugere, como passo inicial, que a correção para aplicativos vulneráveis é modificar o código para aceitar apenas os valores de atributo assinados.
Segundo a empresa, os principais sites impactados já foram contatados e já implantaram a correção; eles se recusaram a divulgar quais sites seriam esses. Ela também disse que os membros do conselho da organização têm trabalhado para identificar outros sites que foram impactados para que possam implantar correções.
O aplicativo com base OpenID mais vulnerável é o OpenIDJava. Para atenuar a vulnerabilidade, a empresa recomenda atualizar esse aplicativo ou qualquer library idenpendente para a versão mais recente do OpenID4Java (0.9.6 final). Enquanto isso, o Kay Framework, que era vulnerável, foi corrigido pela versão 1.0.2. Segundo o boletim de segurança,“outras libraries podem ter o mesmo problema apesar do padrão de uso de serviços/ libraries da Janrain, Ping Identity e DotNetOpenAuth não serem suscetíveis a esse ataque”.
Essencialmente uma forma única de assinatura para a nuvem, a OpenID tem sido adotada em inúmeros sites e empresas, incluindo o Google, Facebook, Flickr, Microsoft, WordPress, Yahoo e Zappos. Em dezembro de 2009, a empresa relatou que havia nove milhões de sites usando o OpenID para permitir registro de usuários e efetuar login em pelo menos uma parte do site. Inúmeras agências do governo também apoiam o OpenID.
No ano passado, o Google propôs a proteção dos dados de conta em sites que se apoiam em credenciais de usuários por meio de um processo conhecido como PseudoID . O sistema – que é retrocompatível com o OpenID – impediria que os invasores ligassem um conjunto de credenciais de assinaturas roubadas de volta para uma conta de usuário em sites de consulta.
(Tradução: Alba Milena | Revisão: Thaís Sabatini)
Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…
por Bruno Paiuca Dentro da jornada de digitalização dos ecossistemas de segurança, a validação e…
A Alphabet, controladora do Google, planeja levantar US$ 80 bilhões por meio da venda de…
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…