この「Covert Redirect」という深刻な脆弱性によって、偽装サイトでユーザを騙すフィッシングではなく、Facebookなど本物のサイトアドレス上でポップアップウィンドウが開き、アプリを許可するよう求められるというもので、シンガポールのNanyang Technological University(南洋理工大学)の博士課程で学ぶ学生Wang Jing氏が発見。
「Covert Redirect」は、既知のエクスプロイトパラメータに基づいており、ユーザがログインの許可を選択すると、本来のウェブサイトではなく攻撃者に個人情報が送信されてしまいます。盗まれる可能性のある個人情報は、要求内容によるものの、ID/パスワード、メールアドレス、誕生日をはじめ、連絡先リスト、さらにはアカウント管理情報にも及ぶ可能性があるとのことです。また、標的になったユーザはその後も攻撃者が選ぶウェブサイトにリダイレクトされ、さらなる攻撃を受ける可能性があります。
【List of affected major OAuth 2.0 and OpenID providers】
対処方法は、現在のところ無く、Wang Jing氏によれば、Facebookに連絡したところ、この脆弱性については「理解していた」ものの、このバグ修正については「短期間で達成できるものではない」との返答だったとのことです。現在影響を受けているサイトは、Facebookだけでなく、上記一覧のようにIT大手が並びます。Wang氏はこれらのサイトについても連絡を取っており、Googleからは「現在、問題に取り組んでいる」、LinkedInからは「この件に関するブログを公開した」、Microsoftからは「脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しない」との回答を得たとのことです。
via: CNET Japan
source: http://tetraph.com、tetraph - YouTube
OpenSSLバグ関連
- 「Heartbleed」バグ:Android搭載デバイス・ユーザにハッキング被害の可能性大!
- 【OpenSSLバグ問題】Microsoftも安全宣言。「『Heartbleed』脆弱性の影響を受けません」
- 【OpenSSLバグ問題】Apple、自社製品での「情報漏えいの心配はない」ことを公表
- 【OpenSSLバグ問題】ネットエージェント、Heartbleed脆弱性検査サービスを無償提供
- まずはパスワード変更を! OpenSSLに見つかった「Heartbleed」バグへの対処
0 件のコメント :
コメントを投稿