OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
いつもいつもご来訪どうもありがとうございます。
本日は長いこと高校の時の幼なじみと二人で買い物してました。
意味のない時間だったな・・・。
OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
CNET Japan 5月7日(水)11時18分配信
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。
シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。
たとえば、悪意あるフィッシングリンクをクリックすると、Facebook内でポップアップウィンドウが開き、アプリを許可するよう求められる。Covert Redirect脆弱性の場合、本物に似た偽ドメイン名を使ってユーザーをだますのではなく、本物のサイトアドレスを使って許可を求める。
ユーザーがログインの許可を選択すると、正当なウェブサイトではなく攻撃者に個人データが送られてしまう。渡される個人データは、何を要求されるかにもよるが、メールアドレス、誕生日、連絡先リスト、さらにはアカウント管理情報にも及ぶ可能性がある。
アプリを許可したかどうかにかかわらず、標的になったユーザーはその後、攻撃者が選ぶウェブサイトにリダイレクトされ、そこでさらなる攻撃を受ける可能性がある。
Wang氏によると、すでにFacebookには連絡し、この脆弱性を報告したが、同社は「OAuth 2.0に関連するリスクは理解していた」と述べた上で、「当プラットフォーム上の各アプリケーションにホワイトリストの利用を強制することが難しい」ため、このバグを修正することは「短期間で達成できるものではない」と返答したという。
影響を受けるサイトはFacebookだけではない。Wang氏は、Google、LinkedIn、Microsoftにもこの件を報告したが、問題への対処についてさまざまな回答を受け取ったと述べている。
Google(OpenIDを利用している)はWang氏に、現在この問題に取り組んでいると伝えた。LinkedInは、この件に関するブログを公開したと述べた。一方でMicrosoftは、調査を行ったところ、脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しないと述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
http://headlines.yahoo.co.jp/hl?a=20140507-35047497-cnetj-sci
※この記事の著作権は、ヤフー株式会社または配信元に帰属します
- Author : sp05rdcy
- -
- 13:55
- comments(0)
- -
- -
- コメント
- コメントする
- PR
- calendar
-
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
- selected entries
- archives
-
- December 2014 (19)
- November 2014 (120)
- October 2014 (124)
- September 2014 (119)
- August 2014 (124)
- July 2014 (124)
- June 2014 (120)
- May 2014 (122)
- April 2014 (120)
- March 2014 (124)
- February 2014 (112)
- January 2014 (124)
- December 2013 (124)
- November 2013 (120)
- October 2013 (124)
- September 2013 (120)
- August 2013 (124)
- July 2013 (123)
- June 2013 (120)
- May 2013 (124)
- April 2013 (120)
- March 2013 (123)
- February 2013 (112)
- January 2013 (93)
- recommend
- profile
- search this site.
- mobile
- powered
- 2008JUGEMキャラコングランプリ
キャラクターデザイン:磯崎洋助/「おしゃれひつじ」