Ernstige kwetsbaarheid in OAuth en OpenID maakt gevaar van phishingaanvallen een stuk groter
Een nieuwe kwetsbaarheid geeft cybercriminelen de mogelijkheid phishingaanvallen een stuk beter te verbergen. Doorgaans zijn dergelijke aanvallen te herkennen aan een verdachte URL, die niet overeenkomt met de URL van een legitieme website. Een fout in de open source-protocollen OAuth en OpenID maakt het echter mogelijk ook de URL van een malafide website te vervalsen. Een groot aantal bekende online diensten waaronder sociale netwerken maken gebruik van de protocollen, wat de kwetsbaarheid ernstig maakt.
Het beveiligingslek is ontdekt door de Singaporese beveiligingsonderzoeker Wang Jing. Jing zegt tegen CNET dat cybercriminelen door misbruik te maken van de kwetsbaarheid bijvoorbeeld Facebook-bezoekers een nagemaakt popup venster kunnen tonen. Deze popup vensters worden doorgaans gebruikt om gebruikers in te laten loggen op de website en apps aan het sociale netwerk te laten knipperen. Het nagemaakte venster is bijna niet van echt te onderscheiden, aangezien ook de URL van het popup venster overeenkomt met de legitieme tegenhanger.
Moeilijk te herkennen
De kwetsbaarheid maakt de kans dat gebruikers in de truc trappen een stuk groter. Aangezien de gemiddelde phishingaanval relatief eenvoudig te herkennen is door op de URL te letten is dit waarschijnlijk voor veel gebruikers het punt waar zij naar kijken om de legitimiteit van websites te controleren. Het is dan ook te verwachten dat veel slachtoffers in phishingaanvallen zullen trappen die misbruik maakt van deze kwetsbaarheid.
Het probleem zit in OAuth en OpenID, open source-protocollen die door allerlei bekende websites worden gebruikt. Facebook is dan ook zeker niet het enige platform dat met het probleem te kampen heeft. Jing stelt ook Google, Microsoft en LinkedIn van het probleem op de hoogte te hebben gesteld. De onderzoeker stelt dat het probleem niet eenvoudig op te lossen is, aangezien hierdoor de kans bestaat dat ook allerlei legitieme apps de koppeling met sociale netwerken niet meer kunnen maken. Derde apps zouden daarom gebruik moeten maken van whitelisting, wat geen ruimte zou open laten voor misbruik.
Geen oplossing op korte termijn
Facebook bevestigt de uitspraak van Jing en stelt dat het probleem niet op korte termijn is op te lossen. Ook de andere partijen zeggen het probleem in de gaten te houden, maar niet direct te kunnen oplossen. LinkedIn heeft al aangekondigd op korte termijn met een blogpost te komen over het onderwerp. LinkedIn is overigens al langer op de hoogte van het probleem. Het sociale netwerk schreef ruim een maand geleden een blogpost over het opzetten van een whitelist voor LinkedIn. Het netwerk bevestigt tegenover CNET dat deze stap is gebaseerd op de kwetsbaarheid die Jing beschrijft.
Meer over
Lees ook
Genetec: bedrijven kiezen versneld voor cloud- en hybride fysieke security oplossingen
Genetec Inc., leverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft het ‘2024 State of Physical Security Report’ gepubliceerd. Aan dit onderzoek, dat gaat over de beveiligingsstrategieën die organisaties hanteren, deden wereldwijd meer dan 5.500 specialisten op het gebied van fysieke bev1
CISO community en CISO Platform officieel opgericht
De CISO community en het bijbehorende CISO Platform Nederland zijn een feit. De nieuwe combinatie ondersteunt Chief Information Security Officers (CISO’s) van Nederlandse bedrijven in verschillende sectoren, non-profitorganisaties en de overheid. Doel is samenwerken, kennisdelen, wederzijdse ondersteuning, competentieopbouw, cyberbeveiligingsbehee1
SurePay's Developer Portal helpt banken en bedrijven fraude te voorkomen
SurePay, de uitvinder van de IBAN-Naam Check, introduceert een Developer Portal. Bedrijven en overheidsorganisaties zijn steeds meer bezig met fraudepreventie.