Login via Google en Facebook te kraken

Status
Niet open voor verdere reacties.

Ivan

Oprichter
Forumleiding
Admin
Kwaadwillenden konden accounts kraken als ingelogd kon worden via Google en Facebook. De implementatie van die 'single sign on'-logins bleek vaak gebrekkig, waardoor het token dat Google en Facebook sturen onderschept kon worden.

Ook kon de accountinformatie van de gebruiker worden bewerkt als het naar servers van Google en Facebook wordt verstuurd, schrijft Ars Technica op basis van onderzoek van enkele wetenschappers van de Amerikaanse University van Indiana en Microsoft Research.

De kwetsbaarheden die de onderzoekers hebben gevonden, zijn allemaal gerepareerd, zo schrijven de onderzoekers in hun paper. Dat betekent niet dat deze Single Sign On-loginprocedures nu veilig zijn, waarschuwen de onderzoekers. "Wij geloven dat gezien onze onderzoeksresultaten andere webdiensten met Single Sign On-procedures ook kwetsbaar kunnen zijn." De kwetsbaarheden werden niet alleen gevonden bij diensten, waarop gebruikers kunnen inloggen via Google of Facebook, maar ook bij OpenID.

Vanwege die gebrekkige implementatie, konden kwaadwillenden het token onderscheppen waaruit de dienst kan opmaken dat de gebruiker de juiste gebruikersnaam en wachtwoord heeft ingevoerd voor Google of Facebook. Daardoor had een kwaadwillende toegang tot het account van een gebruiker zonder een gebruikersnaam of wachtwoord in te hoeven vullen.

De kwetsbaarheden zaten zowel bij de implementatie van de logins op websites van derden als bij Google, Facebook en OpenID. Ook bleken bepaalde browsertechnieken de kwetsbaarheid te verhogen. Goede implementaties van Single Sign On bleken bijvoorbeeld onveilig te worden als ze werden uitgevoerd in Adobe Flash, aldus de onderzoekers.

Single Sign On stelt gebruikers in staat bij een dienst in te loggen met de gebruikersnaam en het wachtwoord van een andere dienst, bijvoorbeeld Gmail of Facebook. Dat verloopt via een api, die regelt dat de dienst aan Google of Facebook vraagt of de 'credentials' juist zijn, waarna de gebruiker een token ontvangt dat wordt gebruikt om in te loggen. Veel sites werken met deze Single Sign On-procedure.

Bron:tweakers.net
 
Iedereen moet het weten: het internet is zo lek als een zeef. +Facebook &C° vertelt iedereen alles over je, bv de muziek die je beluisterd op Spotify! Je moet nl. een Facebook account nemen om Spotify te kunnen beluisteren. Dat is maar één van de truck-ken.
MvG
Walter
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan