インフィニティソリューションズ株式会社ブログ

HeartBleedの次はCovert Redirect脆弱性問題

OpenSSLのバグ、Heartbleedで大騒ぎになったがつい先日。その後はIEの脆弱性が話題になっているが、もっと厄介な問題が発覚した。HeartbleedもIE問題も、パッチを当てるなりすれば対処できるが、そう簡単に対応できそうもないやつだ。Covert Redirect脆弱性という。、サイトの中には、ユーザ登録する代わりに、「Google、Facebook、Twitterでログインする」という表示がでることがあるが、そこに使われている技術がOAuth 2.0やOpenIDだ。そのOAuth 2.0やOpenIDに脆弱性があるという。シンガポールの南洋理工大学のPhD、Wang Jingが発見したもの。ログイン・プロンプトからログイン情報を盗み出せるとのこと。Fast Companyの記事より。

Image courtesy of Toa55 / FreeDigitalPhotos.net

If a user chooses to authorize the login, personal data (depending on what is being asked for) will be released to the attacker instead of to the legitimate website. This can range from email addresses, birth dates, contact lists, and possibly even control of the account.

「ログイン認証を行うと、(何を聞かれたによるが)個人情報が正当なウェブサイトの代わりにアタッカーに流れていってしまう。Eメールアドレス、誕生日、連絡先リスト、さらにはアカウントコントロールまでも流れていってしまうかもしれない。」

In other words, the Cover Redirect flaw makes it super easy for users to be phished from what are otherwise real sign-in tabs. The worst part, though, is that patching the vulnerability is “easier said than done,” writes Wang. “If all the third-party applications strictly adhere to using a whitelist, then there would be no room for attacks.”

「言い換えれば、Covert Redirect脆弱性により、ユーザは超簡単に、本物のサインイン・タブでフィッシングされてしまうのだ。最悪の点は、Wang氏によれば、この脆弱性にパッチを当てることが『言うは易く行うは難し』ということだという。『仮にすべてのサードパーティがホワイトリストの利用を厳密に行えば、アタッカーが入りこむ余地はない。」

That isn’t the case, however. The problem is that the big companies with actual resources like Google and Facebook can’t easily patch the flaw–like they did Heartbleed–because the weakness exists on the third-party websites involved. A quick and dirty fix just isn’t available.

「が、そんなことになるはずがない。問題は、GoogleやFacebookなどリソースを持っている大手は、Heartbleedの時のように、簡単に脆弱性にパッチを当てることができないことだ。なぜなら、サードパーティのウェブサイトが絡んでいるところに弱さがあるからだ。急場しのぎの対策は無い。」