کشف حفره‌های خطرناک در سامانه احراز هویت اینترنتی

در ماه گذشته‌ میلادی مهم‌ترین خبر امنیتی مربوط به آسیب‌پذیری‌‌ِ Heartbleed بود که روز‌ها در صدر اخبار قرار گرفته بود و اهمیت آن مربوط به گستره‌ی استفاده از نرم‌افزار رمز‌نگاری OpenSSL بوده است.

این‌بار، آسیب‌پذیری مهمی در سامانه‌های احراز هویت OpenID و OAuth که وب‌گاه‌های بزرگی چون گوگل، فیسبوک، LinkedIn، مایکروسافت و غیره از آن استفاده می‌کنند بار دیگر دنیای امنیت را به لرزه درآورده است.

دانشجوی دکترای دانشگاه Nanyang Technological در کشور سنگاپور به نام Wang Jing، به تازگی آسیب‌پذیری مهمی به نام «Covert Redirect» را در سامانه‌های احراز هویت مذکور کشف کرده است

نحوه‌ی کار این آسیب‌پذیری به این شکل است که قربانی با کلیک بر یک پیوندِ فیشینگ که از طریق رایانامه دریافت کرده است، یک پنجره‌ی بالاپر1 در مرورگر خواهد دید که از وی می‌خواهد به منظور احراز هویت اطلاعات کاربری خود را وارد کند، بسته به‌ این‌که پیوند مربوط به چه وب‌گاهی باشد، کاربر دقیقاً آدرس وب‌گاه‌ها مانند فیسبوک و گوگل را مشاهده خواهد کرد. به محض تایید اطلاعات کاربر، اطلاعاتی که وی در این پنجره وارد کرده است، به سمت مهاجم ارسال خواهد شد.

البته نکته مهم این است که حتی اگر کاربر دکمه‌ تایید اطلاعات را نزند، به سمت وب‌گاهی که مهاجم می‌خواهد هدایت می‌شود که می‌تواند به صورت بالقوه رایانه‌ی قربانی را آلوده کند.

Wang می‌گوید وی با شرکت فیس‌بوک تماس گرفته و اطلاعات این آسیب‌پذیری را گزارش داده است، اما فیسبوک در پاسخ این مشکل را مربوط به سامانه‌ی احراز هویت OAuth 2.0 دانسته و رفع خطاهای امنیتی آن را در کوتاه مدت غیرممکن گزارش داده است.

فیسبوک به وی پیشنهاد داده است تا برای تمام نرم‌افزار‌های موجود در سکوی مورد استفاده‌ خود از یک لیست سفید استفاده کند که امکان احراز هویت به نرم‌افزار‌های غیرمجاز از دسترس خارج شود.

Wang هم‌چنین این مشکل را به گوگل، LinkedIn، مایکروسافت نیز گزارش داده است و پاسخ‌های متعددی برای مقابله با این مشکل دریافت کرده است.

در تصویر زیر فهرست تمام وب‌گاه‌ها و سرویس‌هایی که از OAuth و OpenID برای احراز هویت استفاده می‌کنند و در مقابل این آسیب‌پذیری مصون نیستند را مشاهده می‌کنید:

 

 

گوگل که از سامانه‌ OpenID استفاده می‌کند‌، در پاسخ عنوان کرده است که در حال پیگیری این مشکل  است  و سایر وب‌گاه‌ها نیز با وعده در مورد هشدار به کاربران و یا عدم قبول مسئولیت در مقابل این آسیب‌پذیری، مشکل را به سامانه‌های احراز هویت مربوط دانسته‌اند.

اگرچه این آسیب‌پذیری زمانی خطرناک می‌شود که کمپین حملات هدف‌مند به سوء‌استفاده از آن بپردازند، اما از آن‌جایی که هیچ وصله‌ای برای آن وجود ندارد، بسیار خطرناک خواهد بود و البته کافی ا‌ست به تعداد کاربرانی که هر روزه از سرویس‌های آسیب‌پذیر استفاده می‌کنند نیز اشاره‌ای داشته باشیم که روشن شود این آسیب‌پذیری می‌تواند دنیای اینترنت را با خطرات جدیِ سرقت اطلاعات مواجه کند.