QAYNAR XƏTT 1654

Xəbərdarlıqlar

"OAuth 2.0" və "OpenID" autentikasiya texnologiyalarındakı təhlükəsizlik boşluğu sosial şəbəkə hesablarınıza təhlükə yaradır

06 May 2014

OAuth 2.0* və OpenID** autentikasiya texnologiyalarında aşkar olunmuş Gizli Yönləndirmə (Covert Redirect) təhlükəsizlik boşluğu sayəsində hücumçular sizin sosial şəbəkə hesablarınızda qeyd etdiyiniz istənilən məlumatı ələ keçirə və sizi təhlükəli saytlara yönləndirə bilərlər. Müəyyən olunmuş bu boşluq hal-hazırda Facebook, Google, Yahoo, LinkedIn, Microsoft, Paypal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru, Sohu və s. kimi bütün sosial şəbəkələrə təsir etməkdədir. Belə ki, bədniyyətlilər OAuth 2.0 və OpenID vasitəsilə autentikasiya sosial şəbəkə istifadəçisinin e-poçt, yaş, yaşayış yeri, iş ünvanı və s. bu kimi fərdi məlumatlarını bu boşluq vasitəsilə birbaşa əldə edə, həmçinin, istifadəçinin məlumatı və icazəsi olmadan onun mesajlarını oxuya, dost siyahısına baxa bilər, hətta istifadəçinin hesabından sərbəst şəkildə istifadə edə bilər.

Məsələn, hər hansı bir sayta daxil olursunuz və orada "Connect with Google+" ("Google+ hesabı ilə qoşul"), "Connect with Facebook" ("Facebook hesabı ilə qoşul") və s. düymələrinı kliklədiyiniz zaman yeni pəncərənin açıldığını görürsünüz. Bu qoşulma prosesi OAuth protokolu vasitəsilə həyata keçirilir. Bu protokolda aşkar olunmuş "Covert Redirect" boşluğu qoşulma zamanı həmin saytla yanaşı, hücumçuya da sizin hesabınızdan məlumatları əldə etməyə imkan verir. Qeyd edək ki, bu boşluq sizi müxtəlif bənzər saytlara da yönləndirə, orada sizə sosial hesabınızla giriş etmə təklif edə bilər ki, bu da sizin məlumatlarınızın oğurlanmasına səbəb ola bilər.

 

 

*OAuth - açıq giriş protokuludur. Bu protokol istifadəçiyə üçüncü tərəfə login və şifrə təqdim etmədən müxtəlif təhlükəsiz resurslara vahid hesabla giriş etmək imkanı verir.

**OpenID - mərkəzləşdirilmiş autentikasiya sisteminin açıq standartıdır. Bu standart istifadəçiyə bir-biri ilə əlaqəli olmayan internet resurslarda autentikasiya üçün vahid hesab yaratmağa imkan verir.