Ernstige kwetsbaarheid in OAuth en OpenID maakt gevaar van phishingaanvallen een stuk groter
Een nieuwe kwetsbaarheid geeft cybercriminelen de mogelijkheid phishingaanvallen een stuk beter te verbergen. Doorgaans zijn dergelijke aanvallen te herkennen aan een verdachte URL, die niet overeenkomt met de URL van een legitieme website. Een fout in de open source-protocollen OAuth en OpenID maakt het echter mogelijk ook de URL van een malafide website te vervalsen. Een groot aantal bekende online diensten waaronder sociale netwerken maken gebruik van de protocollen, wat de kwetsbaarheid ernstig maakt.
Het beveiligingslek is ontdekt door de Singaporese beveiligingsonderzoeker Wang Jing. Jing zegt tegen CNET dat cybercriminelen door misbruik te maken van de kwetsbaarheid bijvoorbeeld Facebook-bezoekers een nagemaakt popup venster kunnen tonen. Deze popup vensters worden doorgaans gebruikt om gebruikers in te laten loggen op de website en apps aan het sociale netwerk te laten knipperen. Het nagemaakte venster is bijna niet van echt te onderscheiden, aangezien ook de URL van het popup venster overeenkomt met de legitieme tegenhanger.
Moeilijk te herkennen
De kwetsbaarheid maakt de kans dat gebruikers in de truc trappen een stuk groter. Aangezien de gemiddelde phishingaanval relatief eenvoudig te herkennen is door op de URL te letten is dit waarschijnlijk voor veel gebruikers het punt waar zij naar kijken om de legitimiteit van websites te controleren. Het is dan ook te verwachten dat veel slachtoffers in phishingaanvallen zullen trappen die misbruik maakt van deze kwetsbaarheid.
Het probleem zit in OAuth en OpenID, open source-protocollen die door allerlei bekende websites worden gebruikt. Facebook is dan ook zeker niet het enige platform dat met het probleem te kampen heeft. Jing stelt ook Google, Microsoft en LinkedIn van het probleem op de hoogte te hebben gesteld. De onderzoeker stelt dat het probleem niet eenvoudig op te lossen is, aangezien hierdoor de kans bestaat dat ook allerlei legitieme apps de koppeling met sociale netwerken niet meer kunnen maken. Derde apps zouden daarom gebruik moeten maken van whitelisting, wat geen ruimte zou open laten voor misbruik.
Geen oplossing op korte termijn
Facebook bevestigt de uitspraak van Jing en stelt dat het probleem niet op korte termijn is op te lossen. Ook de andere partijen zeggen het probleem in de gaten te houden, maar niet direct te kunnen oplossen. LinkedIn heeft al aangekondigd op korte termijn met een blogpost te komen over het onderwerp. LinkedIn is overigens al langer op de hoogte van het probleem. Het sociale netwerk schreef ruim een maand geleden een blogpost over het opzetten van een whitelist voor LinkedIn. Het netwerk bevestigt tegenover CNET dat deze stap is gebaseerd op de kwetsbaarheid die Jing beschrijft.
Meer over
Lees ook
ESET Threat Intelligence verbetert cybersecurity-inzicht door integratie met Elastic Security
ESET heeft een nieuw partnerschap en integratie aangekondigd, dankzij zijn uniforme API-gateway. Deze ontwikkeling faciliteert naadloze verbindingen met verschillende leveranciers van cybersecurity, zoals de recente integratie met Elastic, een search-powered AI-bedrijf.
Denk aan een sterk wachtwoord op World Password Day 2024
Wachtwoorden zijn een van de eerste kritieke barrières tussen een persoon, een dreigingsactor en een succesvolle cyberaanval. Een veelvoorkomende fout die mensen maken is het gebruik van steeds dezelfde loginnaam of hetzelfde e-mailadres en wachtwoord
'Mensen moeten een wachtzin gebruiken als ze veilig willen inloggen'
Op de eerste donderdag van mei is het Wereld Wachtwoorden Dag. Deze dag is bedoeld om betere wachtwoorden te stimuleren. Cyberaanvallen zijn aan de orde van de dag. En dus is goede wachtwoordbeveiliging cruciaal.