{"id":3350,"date":"2014-05-05T14:18:12","date_gmt":"2014-05-05T14:18:12","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=3350"},"modified":"2021-05-04T11:12:11","modified_gmt":"2021-05-04T09:12:11","slug":"facebook-openid-oauth-vulnerable","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/facebook-openid-oauth-vulnerable\/3350\/","title":{"rendered":"Keep calm y mantente alerto: OpenID y OAuth son vulnerables"},"content":{"rendered":"

Solo unas semanas despu\u00e9s del descubrimiento inquietante del bug Heartbleed<\/a>, un ciudadano normal como t\u00fa y yo deber\u00eda preocuparse con otro problema, aparentemente bastante extendido, que no tiene soluci\u00f3n f\u00e1cil. Es exactamente la descripci\u00f3n del bug \u201cCovert redirection\u201d recientemente publicado por Wand Jing, estudiante de doctorado en matem\u00e1ticas en la Universidad tecnol\u00f3gica de Nanyang en Singapur. El problema se encontr\u00f3 en los protocolos populares de Internet OpenID y OAuth. El primero se usa cuando inicias una sesi\u00f3n en p\u00e1ginas web utilizando tus datos de acceso y se encuentra en Google, Facebook, LinkedIN, etc. El segundo se necesita cuando autorizas p\u00e1ginas web, aplicaciones o servicios con Facebook\/G+\/etc., sin realmente revelar tu contrase\u00f1a y nombre de usuario a p\u00e1ginas de terceros. Estos dos normalmente se usan de manera conjunta y resulta que esto podr\u00eda dirigir tu informaci\u00f3n a manos equivocadas.<\/p>\n

La amenaza<\/strong><\/p>\n

Nuestros amigos de Threatpost<\/a> tienen una explicaci\u00f3n m\u00e1s te\u00f3rica del problema, adem\u00e1s de un enlace al estudio original, pero nos saltaremos los detalles innecesarios y solo describiremos la posible situaci\u00f3n de ataque y las consecuencias. En primer lugar, el usuario visitar\u00eda una p\u00e1gina maliciosa de phishing<\/a>, que tiene esos t\u00edpicos botones de \u201cInicia sesi\u00f3n con Facebook\u201d. La p\u00e1gina puede parecerse a alguno de los populares servicios de terceros o disfrazarse como un servicio totalmente nuevo. Entonces aparecer\u00e1 una ventana real de Facebook\/G+\/LI, pidiendo al usuario que introduzca su nombre de usuario y contrase\u00f1a para autorizar el servicio nombrado anteriormente (y que probablemente es de buena reputaci\u00f3n) a acceder al perfil del usuario. Finalmente, la autorizaci\u00f3n para usar el perfil se env\u00eda a la p\u00e1gina falsa (de phishing) usando la redirecci\u00f3n incorrecta.<\/p>\n

En primer lugar, el usuario visitar\u00eda una p\u00e1gina de phishing y tratar\u00eda de iniciar sesi\u00f3n con Facebook u otro OpenID<\/div>\n

Al final del d\u00eda, un cibercriminal recibe una autorizaci\u00f3n correcta\u00a0 (OAuth token) para acceder al perfil de la v\u00edctima con cualquier permiso que tenga la aplicaci\u00f3n original: en el mejor de los casos, solo es un acceso a los datos de usuario b\u00e1sicos y, en el peor de los casos, es la capacidad de leer contactos, enviar mensajes, etc.<\/p>\n

\u00bfEst\u00e1 solucionado? La verdad es que no<\/strong><\/p>\n

Esta amenaza probablemente no desaparecer\u00e1 pronto, ya que la soluci\u00f3n tiene que ser implementada tanto por parte del proveedor (Facebook\/LinkedIn\/Google, etc.) como por parte del cliente (aplicaci\u00f3n o servicio de terceros). El protocolo OAuth todav\u00eda est\u00e1 en beta y varios proveedores usan implementaciones diferentes, que var\u00edan en la capacidad de contrarrestar la situaci\u00f3n de ataque que acabamos de mencionar.\u00a0 LinkedIn se posicion\u00f3 mejor a la hora de implementar el arreglo y tom\u00f3 medidas m\u00e1s estrictas, requiriendo<\/a> de todos los desarrolladores de terceros una \u201clista de admitidos\u201d de redirecciones adecuadas. Ahora mismo, toda aplicaci\u00f3n que usa autorizaci\u00f3n de LinkedIn debe ser segura o no funciona. Las cosas son diferentes con Facebook que, por desgracia, tiene adem\u00e1s de una red mucho m\u00e1s grande de aplicaciones de terceros, una implementaci\u00f3n m\u00e1s antigua de OAuth. Es por esto que los representantes de Facebook respondieron a Jing diciendo que la realizaci\u00f3n de listas blancas \u201cno es algo que se puede lograr a corto plazo\u201d.<\/p>\n

Hay muchos otros proveedores que parecen ser vulnerables (puedes verlos en la imagen), as\u00ed que si inicias sesi\u00f3n en algunas p\u00e1ginas usando estos servicios, tienes que tomar medidas.<\/p>\n

\"marcas\"<\/a><\/p>\n

Tu plan de acci\u00f3n<\/strong><\/p>\n

Para los m\u00e1s cautelosos, la soluci\u00f3n a prueba de balas ser\u00eda dejar de usar OpenID y esos botones pr\u00e1cticos de \u201cIniciar sesi\u00f3n con\u2026\u201d durante algunos meses. Podr\u00edas beneficiarte tambi\u00e9n de m\u00e1s privacidad, ya que esos accesos desde las redes sociales permiten un rastreo mucho m\u00e1s eficiente de tus movimientos en Internet y permiten a m\u00e1s y m\u00e1s p\u00e1ginas leer tus datos demogr\u00e1ficos b\u00e1sicos. Para evitar la traba de tener que memorizar decenas o incluso cientos de diferentes datos de acceso para varias p\u00e1ginas, podr\u00edas empezar a usar finalmente un gestor de contrase\u00f1as eficiente<\/a>. Hoy en d\u00eda, la mayor\u00eda de los servicios est\u00e1n equipados con clientes de plataformas m\u00faltiples y sincronizaci\u00f3n en la nube para asegurar que tengas acceso a tus contrase\u00f1as en cualquier dispositivo que tengas.<\/p>\n

Para los usuarios cautelosos, la mejor soluci\u00f3n ser\u00eda dejar de usar el acceso con Facebook\/Google durante algunos meses. #OpenID #CovertRedirect<\/p>Tweet<\/a><\/blockquote>\n

Sin embargo, si tienes pensado continuar utilizando la autorizaci\u00f3n OpenID, no hay un peligro inminente en hacerlo. Simplemente tienes que estar muy atento y evitar cualquier fraude de phishing<\/a>, que t\u00edpicamente empieza con un email inquietante en tu bandeja de entrada o un enlace provocativo en Facebook u otra red social. Si accedes a alg\u00fan servicio usando Facebook\/Google\/etc., aseg\u00farate de abrir la p\u00e1gina del servicio manualmente introduciendo la direcci\u00f3n o a trav\u00e9s de un marcador, no desde el link de tus mails o programas de mensajer\u00eda. Vuelve a revisar la barra de direcciones para evitar visitar p\u00e1ginas poco fiables y no te inscribas a nuevos servicios con OpenID, a menos que est\u00e9s al 100% seguro de que el servicio es de buena reputaci\u00f3n y que has llegado a la p\u00e1gina web correcta. Adem\u00e1s, usa soluciones de navegaci\u00f3n segura como Kaspersky Internet Security \u2015 Multi-Device<\/a> que prevendr\u00e1 que tu navegador visite sitios peligrosos, incluyendo las p\u00e1ginas phishing.<\/p>\n

Esto es simplemente un ejercicio ordinario de precauci\u00f3n, que cada usuario de Internet deber\u00eda hacer a diario, ya que las amenazas phishing est\u00e1n muy extendidas y efectivas, llevando a todo tipo de p\u00e9rdidas de propiedad digital, incluyendo n\u00fameros de tarjetas de cr\u00e9dito, datos de acceso a cuentas de email y m\u00e1s. El bug \u201cCovert Redirect\u201d en OpenID y OAuth solo es una raz\u00f3n m\u00e1s para hacerlo \u2013 no se permiten excepciones.<\/p>\n","protected":false},"excerpt":{"rendered":"

OpenID y OAuth son protocolos responsables para esos botones de “Inicia sesi\u00f3n con Facebook” y “Autorizar con Google” que se ven en casi todas las p\u00e1ginas web hoy en d\u00eda. Por supuesto, hay un truco para hackear eso ™, pero no tienes que entrar en p\u00e1nico ni cambiar tu contrase\u00f1a. Sigue leyendo para conocer nuestro sencillo plan de acci\u00f3n.<\/p>\n","protected":false},"author":32,"featured_media":3351,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10,6],"tags":[14,16,494,770,769,43,338],"class_list":{"0":"post-3350","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-news","9":"tag-facebook","10":"tag-google","11":"tag-kaspersky-internet-security-multi-device","12":"tag-oauth","13":"tag-openid","14":"tag-phishing","15":"tag-vulnerabilidad"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/facebook-openid-oauth-vulnerable\/3350\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/facebook-openid-oauth-vulnerable\/3422\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/facebook-openid-oauth-vulnerable\/3309\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/facebook-openid-oauth-vulnerable\/3731\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/facebook-openid-oauth-vulnerable\/3833\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/facebook-openid-oauth-vulnerable\/3935\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/facebook-openid-oauth-vulnerable\/4721\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/facebook-openid-oauth-vulnerable\/3558\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/facebook-openid-oauth-vulnerable\/3935\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/facebook-openid-oauth-vulnerable\/4721\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/facebook-openid-oauth-vulnerable\/4721\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/facebook\/","name":"facebook"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/3350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=3350"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/3350\/revisions"}],"predecessor-version":[{"id":25209,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/3350\/revisions\/25209"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/3351"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=3350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=3350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=3350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}