Omdirigering truer autentificering

Artiklen blev oprindeligt publiceret den 5/5/2014

En sårbar konfiguration af websteder gør det muligt at narre login-data fra brugere. Fejlen menes ikke at være særlig udbredt.

Den uheldige konfiguration kaldes Covert Redirect. Angribere kan anvende den til at hacke sig ind på websteder, som anvender fødereret autentifikation – det vil sige, at brugeren logger ind på et andet websted end den endelige destination.

Den type login sker typisk med standarden OAuth, som blandt andre Facebook og Google understøtter. På den måde kan brugeren logge ind på et websted via Facebook.

Sårbarheden består i, at webstedet har en omdirigeringsfunktion, der sender browseren videre til en anden adresse.

Angriberen kan udnytte den ved at udarbejde et link på en særlig måde. Herefter skal han narre offeret til at klikke på linket og logge ind hos den autentificeringstjeneste (fx Facebook), der så dukker op. Omdirigeringen sender brugerens login-tilladelse videre til angriberens websted.

Autentifikationsspecialist Danny Thorpe fra Dell anslår, at under 1 procent af alle websteder har den form for åben omdirigeringsfunktion.

Anbefaling
Administratorer af websteder skal sikre sig, at de ikke tillader omdirigering uden for deres eget domæne. Brugere skal undlade at klikke på mistænkelige links.

Links

• 'Covert Redirect' OAuth flaw more chest-beat than Heartbleed, artikel fra The Register
• Tech Analysis of “Serious security flaw in OAuth, OpenID Discovered", blogindlæg af Danny Thorpe
• Covert Redirect Flaw in OAuth is Not the Next Heartbleed, blogindlæg fra Symantec