IBM обнаружили проблемы в реализации аунтентификации социальной авторизаций нескольких поставщиков доков
Исследователи безопасности IBM, X Force обнаружили способ, чтобы получить доступ к веб-счетов, используя неверные настройки в некоторых служб социальной входа в систему.
Социальная Войти как правило, осуществляется с
Эксперты X группы IBM обнаружила, что это возможно, чтобы получить контроль счетов в различных веб-сайтах, в том числе Nasdaq.com, Slashdot.org, Crowdfunder.com и других, злоупотребляя механизм социальной логин в LinkedIn.
Как пояснил Или Пэлэс и Roee сена IBM Security Systems, объяснил, что атака, они окрестили SpoofedMe работает на многих других услуг, удостоверяющих личность.
"Короче говоря, чтобы выполнить атаку, злоумышленникрегистрирует поддельный аккаунт в уязвимом поставщика личность, используя адрес электронной почты жертвы. Затем, не имея на самом деле подтвердить право собственности на адрес электронной почты, злоумышленник будет войти в к полагающейся сайт с помощью социальной логин с этим поддельным счет. Опираясь сайт будет проверять пользовательские данные заявленные от провайдера идентификации и регистрации злоумышленника и счета жертвы на основе стоимости адрес электронной почты жертвы. "состоянии
Сообщение включает в себя видео PoC, связанные с нападением, что нарушения LinkedIn фальсификацию учетную запись на уязвимой удостоверений. Злоумышленник создает учетную запись с LinkedIn, используя адрес электронной почты жертвы. LinkedIn будет отправить письмо с подтверждением счета жертвы, чтобы обеспечить него есть контроль над электронный адрес, указанный при создании учетной записи.
После того, как злоумышленник создал учетную запись LinkedIn он будет использовать его для входа в Slashdot с помощью функции социальной авторизации, выбрав LinkedIn в качестве поставщика удостоверений. Проблема в том, что поставщики личность не передавать учетные данные пользователя на сайт третьей стороны, передавая только информацию, такую как адрес электронной почты.
LinkedIn, Amazon и Васко, все провайдеры, удостоверяющие личность, все фиксированными либо принимать меры по предотвращению таких счетов поглощений, после уведомления от IBM, говорят исследователи. Но проблема заключается в том, что оба провайдера идентичности и сторонние веб-сайты, использующие эти услуги должны быть в курсе.
Атака, что нарушения LinkedIn показано в видео включены в
LinkedIn будет отправить письмо с подтверждением жертвы, чтобы обеспечить человека есть контроль над адресу. Но для целей злоумышленника, это не имеет значения.
После того, как счет LinkedIn создан, злоумышленник идет на Slashdot и использует функцию социального входа в систему, выбрав LinkedIn в качестве поставщика удостоверений. Поставщики идентичности не проходят вместе с учетными человека в сайте третьей стороны, но передать информацию, такую как адрес электронной почты.
То сайт Slashdot.org проверяет адрес электронной почты жертвы, которая была передана ей LinkedIn к учетной записи, что позволяет злоумышленнику контролировать счет. Счет, то можно было бы использовать для размещения вредоносных ссылок, с людьми, полагая, надежных контактов размещены содержание.
Будьте в курсе, атака будет работать, только если пострадавший не уже есть учётная запись с провайдером идентификационной информации. Недостатки в процессе социальной авторизации являются
Эксперты пояснили, LinkedIn результате уязвимы, потому что он использовал устаревший версию протокола OAuth для социальной входе в систему. LinkedIn также можете использовать OAuth 2.0, который не влияет недостаток в процессе аутентификации.
Проблема в том, что большинство веб-сайтов, проанализированных экспертами использует уязвимой версии LinkedIn в качестве поставщика удостоверений.
Исследователи обнаружили аналогичный вопрос безопасности в бассейне реки Амазонки реализации социальной входа в систему. LinkedIn, Amazon и Васко уже исправили недостаток после извещения от IBM.
Исследователи безопасности IBM, X Force обнаружили способ, чтобы получить доступ к веб-счетов, используя неверные настройки в некоторых служб социальной входа в систему.
You must be registered for see links
, также известный как социальная единого входа в, является форма
You must be registered for see links
с использованием существующих учетных с социальной сети, такие как Facebook, Twitter или Google+, чтобы получить доступ к сторонних веб-службы. Социальная Войти улучшить пользовательский опыт, упрощая логины для процесса аутентификации.Социальная Войти как правило, осуществляется с
You must be registered for see links
стандарт, веб-сайты, которые реализуют это предлагают классический функцию "Вход с Facebook / LinkedIn / др.», которые позволяют их пользователям войти, используя, например, их LinkedIn на Facebook полномочия.Эксперты X группы IBM обнаружила, что это возможно, чтобы получить контроль счетов в различных веб-сайтах, в том числе Nasdaq.com, Slashdot.org, Crowdfunder.com и других, злоупотребляя механизм социальной логин в LinkedIn.
Как пояснил Или Пэлэс и Roee сена IBM Security Systems, объяснил, что атака, они окрестили SpoofedMe работает на многих других услуг, удостоверяющих личность.
"Короче говоря, чтобы выполнить атаку, злоумышленникрегистрирует поддельный аккаунт в уязвимом поставщика личность, используя адрес электронной почты жертвы. Затем, не имея на самом деле подтвердить право собственности на адрес электронной почты, злоумышленник будет войти в к полагающейся сайт с помощью социальной логин с этим поддельным счет. Опираясь сайт будет проверять пользовательские данные заявленные от провайдера идентификации и регистрации злоумышленника и счета жертвы на основе стоимости адрес электронной почты жертвы. "состоянии
You must be registered for see links
от IBM, X группыСообщение включает в себя видео PoC, связанные с нападением, что нарушения LinkedIn фальсификацию учетную запись на уязвимой удостоверений. Злоумышленник создает учетную запись с LinkedIn, используя адрес электронной почты жертвы. LinkedIn будет отправить письмо с подтверждением счета жертвы, чтобы обеспечить него есть контроль над электронный адрес, указанный при создании учетной записи.
После того, как злоумышленник создал учетную запись LinkedIn он будет использовать его для входа в Slashdot с помощью функции социальной авторизации, выбрав LinkedIn в качестве поставщика удостоверений. Проблема в том, что поставщики личность не передавать учетные данные пользователя на сайт третьей стороны, передавая только информацию, такую как адрес электронной почты.
LinkedIn, Amazon и Васко, все провайдеры, удостоверяющие личность, все фиксированными либо принимать меры по предотвращению таких счетов поглощений, после уведомления от IBM, говорят исследователи. Но проблема заключается в том, что оба провайдера идентичности и сторонние веб-сайты, использующие эти услуги должны быть в курсе.
Атака, что нарушения LinkedIn показано в видео включены в
You must be registered for see links
.Злоумышленник создает учетную запись с LinkedIn, используя адрес электронной почты жертвы.LinkedIn будет отправить письмо с подтверждением жертвы, чтобы обеспечить человека есть контроль над адресу. Но для целей злоумышленника, это не имеет значения.
После того, как счет LinkedIn создан, злоумышленник идет на Slashdot и использует функцию социального входа в систему, выбрав LinkedIn в качестве поставщика удостоверений. Поставщики идентичности не проходят вместе с учетными человека в сайте третьей стороны, но передать информацию, такую как адрес электронной почты.
То сайт Slashdot.org проверяет адрес электронной почты жертвы, которая была передана ей LinkedIn к учетной записи, что позволяет злоумышленнику контролировать счет. Счет, то можно было бы использовать для размещения вредоносных ссылок, с людьми, полагая, надежных контактов размещены содержание.
Будьте в курсе, атака будет работать, только если пострадавший не уже есть учётная запись с провайдером идентификационной информации. Недостатки в процессе социальной авторизации являются
- Slashdot.org не должны доверять адрес электронной почты, если провайдер идентификации не знает, что это была проверена.
- Поставщик идентичность не должна передавать данные пользователя, пока адрес не был проверен.
You must be registered for see links
Эксперты пояснили, LinkedIn результате уязвимы, потому что он использовал устаревший версию протокола OAuth для социальной входе в систему. LinkedIn также можете использовать OAuth 2.0, который не влияет недостаток в процессе аутентификации.
Проблема в том, что большинство веб-сайтов, проанализированных экспертами использует уязвимой версии LinkedIn в качестве поставщика удостоверений.
Исследователи обнаружили аналогичный вопрос безопасности в бассейне реки Амазонки реализации социальной входа в систему. LinkedIn, Amazon и Васко уже исправили недостаток после извещения от IBM.