{"id":3002,"date":"2014-05-05T19:36:13","date_gmt":"2014-05-05T19:36:13","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=3002"},"modified":"2017-09-21T11:52:24","modified_gmt":"2017-09-21T14:52:24","slug":"keep-calm-e-permaneca-vigilante-openid-e-oauth-sao-vulneraveis","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/keep-calm-e-permaneca-vigilante-openid-e-oauth-sao-vulneraveis\/3002\/","title":{"rendered":"Keep Calm e permane\u00e7a vigilante: OpenID e OAuth s\u00e3o vulner\u00e1veis"},"content":{"rendered":"

Apenas algumas semanas depois da descoberta do bug Hearbleed descoberta, um cidad\u00e3o normal como voc\u00ea e eu deveria estar preocupado com outra quest\u00e3o aparentemente generalizada, que n\u00e3o tem solu\u00e7\u00e3o f\u00e1cil. \u00c9 exatamente a descri\u00e7\u00e3o do bug \u201cCovert redirection\u201d recentemente divulgado por Wang Jing, um estudante de doutorado em matem\u00e1tica na Universidade Tecnol\u00f3gica de Nanyang, em Cingapura. O problema foi encontrados nos protocolos populares de Internet OpenID e OAuth. O primeiro \u00e9 utilizado quando voc\u00ea efetuar login em sites da web usando o seu login existente do Google, Facebook, LinkedIn, etc. O segundo \u00e9 utilizado quando voc\u00ea autoriza sites, aplicativos ou servi\u00e7os com Facebook\/G+\/etc., sem realmente revelar a sua senha e login para sites de terceiros. Estes dois s\u00e3o tipicamente usados \u200b\u200bem conjunto, e, como se v\u00ea, pode levar a sua informa\u00e7\u00e3o para m\u00e3os erradas.<\/span><\/p>\n

\"lock\"<\/a><\/p>\n

A amea\u00e7a<\/strong>
\nNossos amigos da Threatpost t\u00eam uma explica\u00e7\u00e3o mais t\u00e9cnica sobre o assunto, juntamente com o link para a pesquisa original, mas vamos pular os detalhes desnecess\u00e1rios e apenas descrever o cen\u00e1rio de ataque poss\u00edvel e quais seriam as conseq\u00fc\u00eancias. Primeiro, o usu\u00e1rio visitaria um site de phishing malicioso, que tem aqueles bot\u00f5es t\u00edpicos de \u201cLogin com Facebook\u201d. Um site pode parecer algum dos populares servi\u00e7os de terceiros ou se disfar\u00e7ar como um servi\u00e7o totalmente novo. Ent\u00e3o aparecer\u00e1 uma janela pop-up real do Facebook\/G+\/LI, solicitando que o usu\u00e1rio digite o seu nome de usu\u00e1rio e senha para autorizar o servi\u00e7o acima mencionado (e que provavelmente tem boa reputa\u00e7\u00e3o) para acessar o perfil do usu\u00e1rio. Finalmente, a autoriza\u00e7\u00e3o para utilizar o perfil \u00e9 enviado para o site falso (phising), utilizando o redirecionamento impr\u00f3prio.<\/p>\n

Em primeiro lugar, o usu\u00e1rio visitaria um site de phishing e faria o login com o Facebook ou outro provedor de OpenID.<\/b><\/div>\n

No final do dia, um cibercriminoso recebe a devida autoriza\u00e7\u00e3o (s\u00edmbolo OAuth) para acessar o perfil da v\u00edtima com as permiss\u00f5es do aplicativo original: na melhor das hip\u00f3teses, \u00e9 apenas um acesso a informa\u00e7\u00f5es b\u00e1sicas do usu\u00e1rio; e no pior cen\u00e1rio \u00e9 a capacidade de ler os contatos, enviar mensagens, etc.<\/p>\n

Foi resolvido? A verdade \u00e9 que n\u00e3o<\/strong><\/p>\n

Esta amea\u00e7a provavelmente n\u00e3o vai embora t\u00e3o cedo, j\u00e1 que a corre\u00e7\u00e3o deve ser realizada tanto no lado do provedor (Facebook\/LinkedIn\/Google, etc) e do lado do cliente (app ou servi\u00e7o de terceiros). O protocolo OAuth ainda est\u00e1 em beta e v\u00e1rios prestadores usam diferentes implementa\u00e7\u00f5es, que variam na sua capacidade de neutralizar o cen\u00e1rio de ataque acima mencionado. O LinkedIn foi o que melhor se posicionou na hora de implementar a corre\u00e7\u00e3o e tomou medidas rigorosas de lidar com as coisas, exigindo que todos os desenvolvedores de terceiros forne\u00e7am uma \u201clista neutra\u201d de redirecionamentos adequados. A partir de agora, cada aplicativo usado na autoriza\u00e7\u00e3o do LinkedIn deve ser seguro ou n\u00e3o-funcionais. As coisas s\u00e3o diferentes no Facebook, que infelizmente tem al\u00e9m de uma rede muto maior de aplicativos de terceiros, tem uma implementa\u00e7\u00e3o mais velha do OAuth. \u00c9 por isso que os representantes do Facebook responderam para a Jing dizendo que a realiza\u00e7\u00e3o de \u201clistas neutras\u201d \u201cn\u00e3o \u00e9 algo que pode ser realizado em curto prazo\u201d.<\/p>\n

H\u00e1 muitos outros provedores que parecem ser vulner\u00e1veis \u200b\u200b(confira a foto), ent\u00e3o se voc\u00ea inicia alguma sess\u00e3o usando estes servi\u00e7os, voc\u00ea deve tomar algumas medidas.<\/span><\/p>\n

\"marcas\"<\/a><\/p>\n

Seu plano de a\u00e7\u00e3o<\/strong><\/p>\n

Para os mais cautelosos, a solu\u00e7\u00e3o \u00e0 prova de balas seria desistir de usar o OpenID e aqueles bot\u00f5es acess\u00edveis \u201cIniciar com \u2026 \u201d por alguns meses. Voc\u00ea tamb\u00e9m pode se beneficiar de uma maior privacidade, j\u00e1 que esses logins de redes sociais permitem um monitoramento mais eficiente dos seus movimentos online e permite que mais e mais sites possam ler seus dados demogr\u00e1ficos b\u00e1sicos. Para evitar o obst\u00e1culo de ter que memorizar dezenas ou mesmo centenas de logins diferentes para v\u00e1rios sites, voc\u00ea pode finalmente come\u00e7ar a usar um gerenciador de senhas eficiente. Hoje em dia, a maioria dos servi\u00e7os s\u00e3o equipados com clientes de v\u00e1rias plataformas e sincroniza\u00e7\u00e3o em nuvem para garantir que voc\u00ea tenha acesso \u00e0s suas senhas em todos os dispositivos que voc\u00ea possui.<\/p>\n

Para usu\u00e1rios cautelosos, a melhor solu\u00e7\u00e3o seria deixar de usar o login do Facebook\/Google para acessar sites por alguns meses. #OpenID #CovertRedirect<\/p>Tweet<\/a><\/blockquote><\/span><\/p>\n

No entanto, se voc\u00ea pretende continuar usando a autoriza\u00e7\u00e3o OpenID, n\u00e3o h\u00e1 perigo imediato em fazer isso. Voc\u00ea apenas tem que estar muito atento e evitar golpes de phishing, que normalmente come\u00e7am com alguma carta perturbadora na sua caixa de entrada ou um link provocante no Facebook ou outra rede social. Se voc\u00ea efetuar login em algum servi\u00e7o usando Facebook\/Google\/etc., certifique-se de abrir o site deste servi\u00e7o usando o endere\u00e7o digitado manualmente ou atrav\u00e9s de um marcador, n\u00e3o o link de seus e-mails ou mensagens. Verifique a barra de endere\u00e7os para evitar visitar sites incompletos e n\u00e3o se inscreva em novos servi\u00e7os com OpenID, a menos que tenha 100% de certeza de que o servi\u00e7o tem boa reputa\u00e7\u00e3o e que voce chegou ao site correto. Al\u00e9m disso, use solu\u00e7\u00f5es de navega\u00e7\u00e3o segura como o Kaspersky Internet Security Multi-Dispositivo<\/a> que impede que seu navegador visite lugares perigosos, incluindo sites de phishing.<\/p>\n

Este \u00e9 apenas um exerc\u00edcio comum de precau\u00e7\u00e3o, que cada usu\u00e1rio da Internet deve executar diariamente, j\u00e1 que as amea\u00e7as de phishing s\u00e3o generalizadas e eficazes, levando a todos os tipos de perda de propriedade digital, incluindo n\u00fameros de cart\u00f5es de cr\u00e9dito, logins de e-mail e assim por diante. O bug \u201cCoverRedirect\u201d no OpenID e OAuth \u00e9 apenas mais um motivo para faz\u00ea-lo \u2013 sem exce\u00e7\u00f5es.<\/p>\n

Tradu\u00e7\u00e3o: Juliana Costa Santos Dias\u00a0<\/span><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Apenas algumas semanas depois da descoberta do bug Hearbleed descoberta, um cidad\u00e3o normal como voc\u00ea e eu deveria estar preocupado com outra quest\u00e3o aparentemente generalizada, que n\u00e3o tem solu\u00e7\u00e3o f\u00e1cil.<\/p>\n","protected":false},"author":32,"featured_media":3003,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,12],"tags":[],"class_list":{"0":"post-3002","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/keep-calm-e-permaneca-vigilante-openid-e-oauth-sao-vulneraveis\/3002\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/3002","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=3002"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/3002\/revisions"}],"predecessor-version":[{"id":8360,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/3002\/revisions\/8360"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/3003"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=3002"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=3002"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=3002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}