Poważne luki w systemach SSO OpenID i Facebooka

Systemy pojedynczego logowania, umożliwiające użytkownikom dostęp do wielu różnych serwisów i usług webowych z wykorzystaniem jednego loginu i hasła mają poważne luki w zabezpieczeniach. Badacze przyjrzeli się OpenID i rozwiązaniu Facebooka. Zdaniem ekspertów, rozwiązania SSO mogą zostać wykorzystane przez przestępców do podszywania się pod użytkowników.

Naukowcy z Indiana University Bloomington oraz Microsoft Research przyjrzeli się najpopularniejszym systemom SSO (single sign-on) - czyli OpenID oraz systemowi Facebooka - a także temu, jak różne zewnętrzne strony implementują u siebie te rozwiązania (z OPenID korzystają np. Google oraz PayPal).

"Generalny wniosek z naszych badań jest taki - tego typu systemy uwierzytelniania co prawda ułatwiają życie użytkownikom, ale jednocześnie sprawiają, że zapewnienie odpowiedniego bezpieczeństwa staje się wyzwaniem" - tłumaczy XiaoFeng Wang, jeden z autorów przygotowanego po analizach raportu.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem

Systemy pojedynczego logowania działają tak: próba zalogowania się użytkownika inicjuje wymianę informacji pomiędzy aktualnie odwiedzaną przez niego witryną a operatorem obsługującym uwierzytelnienie (zostaje on zapytany o to, czy podane hasło i login są zgodne - jeśli tak, operator wysyła potwierdzenie do witryny, a użytkownik otrzymuje dostęp do określonych zasobów).

Naukowcy znaleźli w tych systemach szereg błędów - jeden z podstawowych dotyczył implementacji obsługi zewnętrznego systemu uwierzytelniania przez serwisy. Wykryto na przykład, że niektóre witryny nie potwierdzają, że potwierdzenie nadesłane od operatora OpenID zawiera wszystkie informacje, o które go poproszono. To zaś otwiera pole do manipulowania danymi - skoro niektóre pozycje nie są weryfikowane, to potencjalnie możliwe jest ich zmodyfikowanie przez przestępców.

W przypadku systemu obsługiwanego przez Facebooka naukowcom udało się podszyć, w serwisie wykorzystującym ten sposób logowania, pod użytkownika FB. To z kolei pozwoliło im na przejęcie kontroli na jego kontem w serwisie społęcznościowym.

Warto podkreślić, że o wszystkich problemach zostali od razu powiadomieni operatorzy badanych systemów SSO - do momentu publikacji raportu usunęli oni wszystkie wskazane w nim luki. Ale naukowcy zastrzegają, że podobnych błędów może być więcej.

Sprawa jest o tyle poważna, że w ostatnim czasie szybko rośnie liczba serwisów, które korzystają z dostarczanych przez zewnętrzny podmiot systemów logowania. Ich popularność to m.in. efekt zmiany zwyczajów internautów - z opublikowanego niedawno raportu firmy Forrester Research wynika na przykład, że ok. 10% internautów rezygnuje z zakupu w sklepie online, jeśli okaże się, że niezbędne jest do tego stworzenie konta w owym sklepie.

Więcej informacji znaleźć można w raporcie: "Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200