للمرة الثانية في حوالي شهر واحد ، تم اكتشاف عيب كبير في برامج الأمان مفتوحة المصدر الشهيرة. الثقب الموجود في أدوات تسجيل الدخول OAuth و OpenID يؤثر على العديد من المواقع بما في ذلك Google و Facebook و Microsoft و LinkedIn و Yahoo و GitHub وغيرها.
تم اكتشاف الخلل من قبل وانغ جينغ ، طالب دكتوراه في جامعة نانيانغ التكنولوجية في سنغافورة. يلاحظ جينغ أن الخلل الخطير في "إعادة التوجيه السرية" يمكن أن يكون بمثابة نافذة منبثقة لتسجيل الدخول بناءً على نطاق الموقع المتأثر. إذا تم استغلالها من قبل مهاجم ، فقد تؤدي المواقع المتأثرة إلى فقدان المستخدمين السيطرة على معلومات تسجيل الدخول وبياناتهم الشخصية - بما في ذلك عناوين البريد الإلكتروني وتواريخ الميلاد وقوائم جهات الاتصال.
بالإضافة إلى ذلك ، يمكن أن يؤدي الخلل إلى هجمات Open Redirect ، حيث يتم إعادة توجيه المستخدمين إلى موقع ويب يختاره المهاجم ، مما قد يعني حدوث المزيد من الضرر.
يقول وانج جينج: "إن قول تصحيح هذه الثغرة الأمنية أسهل من الفعل". لقد اتصل بالشركات الكبرى المتأثرة للإبلاغ عن الخلل - على الرغم من اعترافهم بأنه سيكون من الصعب إصلاح الخطأ على المدى القصير.
وافق خبراء الأمن بمن فيهم جيريمايا غروسمان ، المؤسس والرئيس التنفيذي المؤقت لشركة WhiteHat Security ، على النتائج التي توصل إليها وانغ.
ومع ذلك ، يؤكد براندون إدواردز - نائب رئيس SilverSky Labs في SilverSky - أن هذا ليس خطرًا أمنيًا كبيرًا مثل هارتبليد:
يقول: "قد يكون عرض تفضيلات الموسيقى وقوائم الأصدقاء والمحتويات الاجتماعية الأخرى أمرًا حساسًا وقد يكون شديدًا في بعض الحالات". "ومع ذلك ، بشكل عام ، فإن مخاطر التعرض للمعلومات الهامة أقل بكثير ، وهي معزولة عن المعلومات التي قد تعرضها المواقع المعرضة للخطر لأطراف ثالثة على أي حال. هذا أقل تأثيرًا بكثير من Heartbleed ، الذي لديه القدرة على كشف المعلومات الأكثر أهمية التي يعالجها الموقع.
بالإضافة إلى ذلك ، فإن هذه الثغرة الأمنية ليست منتشرة مثل موقع Heartbleed ، حيث أن معظم المواقع التي تستخدم هذه التقنيات اجتماعية الشبكات ، لذلك لن يشكل هذا تهديدًا للبنوك ، ولن يتم تضمينه في معدات الشبكات مثل أجهزة التوجيه أو VPN بوابات. أخيرًا ، لا تزال هذه الثغرة الأمنية تعتمد على تفاعل المستخدم: يجب أن يتم خداع المستخدم أو استدراجه أو إقناعه للسماح بالوصول باستخدام حسابه ".
سيكون لدينا المزيد من الأخبار مع اقتراب هذه القصة.
مصدر: تيتراف
عبر: سي نت