Rabitə və İnformasiya Texnologiyaları Nazirliyinin elektron xəbər xidməti
ETM-dən xəbərdarlıq: “Sosial şəbəkələrdəki səhifələr bu yolla istifadə oluna bilər”
Rabitə və Yüksək Texnologiyalar Nazirliyi yanında Elektron Təhlükəsizlik Mərkəzi (ETM) sosial şəbəkələrlə bağlı növbəti xəbərdarlıq edib.
Mərkəzdən "ICTnews" elektron xəbər xidmətinə verilən məlumata görə, “OAuth 2.0” və “OpenID” texnologiyalarındakı təhlükəsizlik boşluğu sosial şəbəkə hesablarına təhlükə yaradır.
ETM qeyd edir ki, “OAuth 2.0” və “OpenID” autentifikasiya texnologiyalarında aşkar olunmuş Gizli Yönləndirmə (Covert Redirect) təhlükəsizlik boşluğu sayəsində hücumçular sözügedən şəbəkələrdə istifadəçilər tərəfindən yazılan istənilən məlumatı ələ keçirə və istifadəçiləri təhlükəli saytlara yönləndirə bilər:
“Müəyyən olunmuş bu boşluq hazırda “Facebook”, “Google”, “Yahoo!”, “LinkedIn”, “Microsoft”, “Paypal”, “GitHub”, “QQ”, “Taobao”, “Weibo”, “VK”, “Mail.Ru”, “Sohu” və s. bu kimi bütün sosial şəbəkələrə təsir etməkdədir. Belə ki, bədniyyətlilər “OAuth 2.0” və “OpenID” vasitəsilə autentifikasiya sosial şəbəkə istifadəçisinin e-poçt, yaş, yaşayış yeri, iş ünvanı və s. bu kimi fərdi məlumatlarını haqqında danışılan boşluq vasitəsilə birbaşa əldə edə, həmçinin, istifadəçinin məlumatı və icazəsi olmadan onun mesajlarını oxuya, dost siyahısına baxa bilər, hətta istifadəçinin hesabından sərbəst şəkildə istifadə etmələri mümkündür.
Məsələn, hər hansı bir sayta daxil olursunuz və orada “Connect with Google+” (“Google+ hesabı ilə qoşul”), “Connect with Facebook” (“Facebook hesabı ilə qoşul”) və s. düymələrinı kliklədiyiniz zaman yeni pəncərənin açıldığını görürsünüz. Bu qoşulma prosesi “OAuth” protokolu vasitəsilə həyata keçirilir.
Bu protokolda aşkar olunmuş “Covert Redirect” boşluğu qoşulma zamanı həmin saytla yanaşı, hücumçuya da sizin hesabınızdan məlumatları əldə etməyə imkan verir. Qeyd edək ki, bu boşluq sizi müxtəlif bənzər saytlara da yönləndirə, orada sizə sosial hesabınızla giriş etmə təklif edə bilər ki, bu da məlumatlarınızın oğurlanmasına səbəb ola bilər”.
ETM vurğulayır ki, “OAuth” - açıq giriş protokoludur. Bu protokol istifadəçiyə üçüncü tərəfə login və şifr təqdim etmədən müxtəlif təhlükəsiz resurslara vahid hesabla giriş etmək imkanı verir.
“OpenID” isə mərkəzləşdirilmiş autentifikasiya sisteminin açıq standartıdır. Bu standart istifadəçiyə bir-biri ilə əlaqəli olmayan internet resurslarda autentifikasiya üçün vahid hesab yaratmağa imkan verir.
SEYMUR
07/05/14 Çap et