Poważne luki w systemach SSO OpenID i Facebooka
- Antoni Steliński,
- 28.03.2012, godz. 10:54
Systemy pojedynczego logowania, umożliwiające użytkownikom dostęp do wielu różnych serwisów i usług webowych z wykorzystaniem jednego loginu i hasła mają poważne luki w zabezpieczeniach. Badacze przyjrzeli się OpenID i rozwiązaniu Facebooka. Zdaniem ekspertów, rozwiązania SSO mogą zostać wykorzystane przez przestępców do podszywania się pod użytkowników.
Polecamy:
"Generalny wniosek z naszych badań jest taki - tego typu systemy uwierzytelniania co prawda ułatwiają życie użytkownikom, ale jednocześnie sprawiają, że zapewnienie odpowiedniego bezpieczeństwa staje się wyzwaniem" - tłumaczy XiaoFeng Wang, jeden z autorów przygotowanego po analizach raportu.
Zobacz również:
Systemy pojedynczego logowania działają tak: próba zalogowania się użytkownika inicjuje wymianę informacji pomiędzy aktualnie odwiedzaną przez niego witryną a operatorem obsługującym uwierzytelnienie (zostaje on zapytany o to, czy podane hasło i login są zgodne - jeśli tak, operator wysyła potwierdzenie do witryny, a użytkownik otrzymuje dostęp do określonych zasobów).
Naukowcy znaleźli w tych systemach szereg błędów - jeden z podstawowych dotyczył implementacji obsługi zewnętrznego systemu uwierzytelniania przez serwisy. Wykryto na przykład, że niektóre witryny nie potwierdzają, że potwierdzenie nadesłane od operatora OpenID zawiera wszystkie informacje, o które go poproszono. To zaś otwiera pole do manipulowania danymi - skoro niektóre pozycje nie są weryfikowane, to potencjalnie możliwe jest ich zmodyfikowanie przez przestępców.
W przypadku systemu obsługiwanego przez Facebooka naukowcom udało się podszyć, w serwisie wykorzystującym ten sposób logowania, pod użytkownika FB. To z kolei pozwoliło im na przejęcie kontroli na jego kontem w serwisie społęcznościowym.
Warto podkreślić, że o wszystkich problemach zostali od razu powiadomieni operatorzy badanych systemów SSO - do momentu publikacji raportu usunęli oni wszystkie wskazane w nim luki. Ale naukowcy zastrzegają, że podobnych błędów może być więcej.
Sprawa jest o tyle poważna, że w ostatnim czasie szybko rośnie liczba serwisów, które korzystają z dostarczanych przez zewnętrzny podmiot systemów logowania. Ich popularność to m.in. efekt zmiany zwyczajów internautów - z opublikowanego niedawno raportu firmy Forrester Research wynika na przykład, że ok. 10% internautów rezygnuje z zakupu w sklepie online, jeśli okaże się, że niezbędne jest do tego stworzenie konta w owym sklepie.
Więcej informacji znaleźć można w raporcie: "Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services".