ID de respuesta vasco-sr-20140505-oauth
Número de revisión 1.0
Fecha de lanzamiento 05 de mayo de 2015 10:57 AM UTC + 1
Última actualización 05 de mayo de 2015 10:57 AM UTC + 1
Resumen
Covert Redirect es una falla de seguridad en la implementación de OAuth por parte de los proveedores de servicios de aplicaciones (ASP), que permite a los atacantes obtener los datos personales de los usuarios que tienen una cuenta con ASP defectuosas. MYDIGIPASS.COM está a salvo del defecto de redireccionamiento encubierto.
¿Qué es el OAuth?
OAuth es un protocolo abierto para la autorización. OAuth especifica un proceso para autorizar aplicaciones de terceros para obtener acceso a cuentas de usuario.
¿Qué es el redireccionamiento encubierto?
Covert Redirect es una falla de seguridad en la implementación de OAuth por parte de los proveedores de servicios de aplicaciones (ASP), publicada por primera vez el 2 de mayo de 2014.
En el protocolo OAuth, el sitio web de un ASP (por ejemplo, ejemplo.com) realiza una Solicitud de autorización al sitio web de un proveedor de autenticación (por ejemplo, mydigipass.com). Esta solicitud contiene un URI, como https://ASP.com/redirect/?&original_page=https://ASP.com/myprofile. El proveedor de autenticación solicita al usuario que inicie sesión en el dominio del proveedor de autenticación y luego emite un Código de autorización para el sitio web de ASP (ejemplo.com). Este código de autorización se pasa del proveedor de autenticación al sitio web de la ASP redirigiendo el navegador del usuario al URI proporcionado en la solicitud de autorización.
La falla de redireccionamiento encubierto existe si las ASP permiten una redirección abierta a una página web elegida por un adversario. En este caso, un adversario insertaría un URI que redirige a un sitio web falso en la Solicitud de autorización, y la ASP lo redirigiría a él. Por ejemplo, el URI https://example.com/redirect/?&original_page=https://evil.com/myprofile causaría que una ASP defectuosa redirija el navegador del usuario a https://evil.com/myprofile, y esto el sitio web falso podría acceder posteriormente a los datos personales del usuario.
¿Cuál es el impacto del redireccionamiento encubierto?
Los atacantes pueden explotar la falla de seguridad de redireccionamiento encubierto para obtener el código de autorización emitido por el proveedor de autenticación. Este Código de autorización a su vez se puede utilizar para acceder a los datos de la cuenta de los usuarios almacenados por los proveedores de autenticación. Estos datos pueden ser utilizados posteriormente para otros propósitos maliciosos.
¿MYDIGIPASS.COM es vulnerable al redireccionamiento encubierto?
No, no es.
MYDIGIPASS.COM realiza dos comprobaciones para asegurarse de que no está sujeto a este defecto:
Primero, MYDIGIPASS.COM verifica si el URI en la Solicitud de autorización de la ASP coincide exactamente con el URI en la configuración de MYDIGIPASS.COM para esa ASP, de acuerdo con las recomendaciones de seguridad del IETF con respecto a OAuth. Esto no solo garantiza que MYDIGIPASS.COM redirige al dominio de la ASP, sino que también redirige solo a la página web específica registrada en MYDIGIPASS.COM por la ASP.
En segundo lugar, MYDIGIPASS.COM autentica el ASP cuando solicita un token de acceso como parte de una autorización. La ASP debe proporcionar su secreto de cliente a MYDIGIPASS.COM para autenticarse. Un ASP no autorizado no podría proporcionar el secreto del cliente, lo que significa que no puede acceder a los datos personales de los usuarios de MYDIGIPASS.COM.
Nota legal
MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.
🖨 La falla de redireccionamiento encubierto en OAuth no afecta a MYDIGIPASS.COM