Ernstige kwetsbaarheid in OAuth en OpenID maakt gevaar van phishingaanvallen een stuk groter

phishing2

Een nieuwe kwetsbaarheid geeft cybercriminelen de mogelijkheid phishingaanvallen een stuk beter te verbergen. Doorgaans zijn dergelijke aanvallen te herkennen aan een verdachte URL, die niet overeenkomt met de URL van een legitieme website. Een fout in de open source-protocollen OAuth en OpenID maakt het echter mogelijk ook de URL van een malafide website te vervalsen. Een groot aantal bekende online diensten waaronder sociale netwerken maken gebruik van de protocollen, wat de kwetsbaarheid ernstig maakt.

Het beveiligingslek is ontdekt door de Singaporese beveiligingsonderzoeker Wang Jing. Jing zegt tegen CNET dat cybercriminelen door misbruik te maken van de kwetsbaarheid bijvoorbeeld Facebook-bezoekers een nagemaakt popup venster kunnen tonen. Deze popup vensters worden doorgaans gebruikt om gebruikers in te laten loggen op de website en apps aan het sociale netwerk te laten knipperen. Het nagemaakte venster is bijna niet van echt te onderscheiden, aangezien ook de URL van het popup venster overeenkomt met de legitieme tegenhanger.

Moeilijk te herkennen

De kwetsbaarheid maakt de kans dat gebruikers in de truc trappen een stuk groter. Aangezien de gemiddelde phishingaanval relatief eenvoudig te herkennen is door op de URL te letten is dit waarschijnlijk voor veel gebruikers het punt waar zij naar kijken om de legitimiteit van websites te controleren. Het is dan ook te verwachten dat veel slachtoffers in phishingaanvallen zullen trappen die misbruik maakt van deze kwetsbaarheid.

Het probleem zit in OAuth en OpenID, open source-protocollen die door allerlei bekende websites worden gebruikt. Facebook is dan ook zeker niet het enige platform dat met het probleem te kampen heeft. Jing stelt ook Google, Microsoft en LinkedIn van het probleem op de hoogte te hebben gesteld. De onderzoeker stelt dat het probleem niet eenvoudig op te lossen is, aangezien hierdoor de kans bestaat dat ook allerlei legitieme apps de koppeling met sociale netwerken niet meer kunnen maken. Derde apps zouden daarom gebruik moeten maken van whitelisting, wat geen ruimte zou open laten voor misbruik.

Geen oplossing op korte termijn

Facebook bevestigt de uitspraak van Jing en stelt dat het probleem niet op korte termijn is op te lossen. Ook de andere partijen zeggen het probleem in de gaten te houden, maar niet direct te kunnen oplossen. LinkedIn heeft al aangekondigd op korte termijn met een blogpost te komen over het onderwerp. LinkedIn is overigens al langer op de hoogte van het probleem. Het sociale netwerk schreef ruim een maand geleden een blogpost over het opzetten van een whitelist voor LinkedIn. Het netwerk bevestigt tegenover CNET dat deze stap is gebaseerd op de kwetsbaarheid die Jing beschrijft.

Lees ook
Sora: een historische ontwikkeling, maar mét beveiligingsrisico’s

Sora: een historische ontwikkeling, maar mét beveiligingsrisico’s

De introductie van Sora door OpenAI markeert een mijlpaal in videobewerking. De revolutionaire technologie is opwindend, maar roept tegelijkertijd vragen op over de gevolgen van de rol van AI bij het maken van digitale content en cybersecurity.

Terugblik met Remco Geerts van Tesorion

Terugblik met Remco Geerts van Tesorion

InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.

Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar

Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar

Volgens onderzoek van Orange Cyberdefense was de maakindustrie het afgelopen jaar het grootste doelwit van cyberaanvallen: bijna 33 procent trof deze sector. Al jaren is deze industrie het vaakst getroffen. Jeroen Wijnands, Head of OT Security bij Orange Cyberdefense, ziet bij het gros van deze bedrijven dezelfde misstappen. Dit zijn volgens hem d1