安全漏洞
繼OpenSSL漏洞後,開源安全軟體再曝安全漏洞。新加坡南洋理工大學研究人員Wang Jing發現,Oauth2.0授權接口的網站存隱蔽重定向漏洞、英文名為“Covert Redirect”。入侵技術
攻擊者創建一個使用真實站點地址的彈出式登錄視窗——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。漏洞危害
黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站連結引誘用戶登錄釣魚網站,一旦用戶訪問釣魚網站並成功登入授權,黑客即可讀取其在網站上存儲的私密信息。騰訊QQ、新浪微博、Facebook、Google等國內外大量知名網站受影響。
鑒於OAuth和OpenID被廣泛用於各大公司——如微軟、Facebook、Google、以及LinkedIn——Wang表示他已經向這些公司已經了匯報。Wang聲稱,微軟已經給出了答覆,調查並證實該問題出在第三方系統,而不是該公司的自有站點。Facebook也表示,“短期內仍無法完成完成這兩個問題的修復工作,只得迫使每個應用程式平台採用白名單”。至於Google,預計該公司會追蹤OpenID的問題;而LinkedIn則聲稱它將很快在部落格中說明這一問題。
