Tarix:07/05/14
Mərkəzdən "ICTnews" elektron xəbər xidmətinə verilən məlumata görə, “OAuth 2.0” və “OpenID” texnologiyalarındakı təhlükəsizlik boşluğu sosial şəbəkə hesablarına təhlükə yaradır.
ETM qeyd edir ki, “OAuth 2.0” və “OpenID” autentifikasiya texnologiyalarında aşkar olunmuş Gizli Yönləndirmə (Covert Redirect) təhlükəsizlik boşluğu sayəsində hücumçular sözügedən şəbəkələrdə istifadəçilər tərəfindən yazılan istənilən məlumatı ələ keçirə və istifadəçiləri təhlükəli saytlara yönləndirə bilər:
“Müəyyən olunmuş bu boşluq hazırda “Facebook”, “Google”, “Yahoo!”, “LinkedIn”, “Microsoft”, “Paypal”, “GitHub”, “QQ”, “Taobao”, “Weibo”, “VK”, “Mail.Ru”, “Sohu” və s. bu kimi bütün sosial şəbəkələrə təsir etməkdədir. Belə ki, bədniyyətlilər “OAuth 2.0” və “OpenID” vasitəsilə autentifikasiya sosial şəbəkə istifadəçisinin e-poçt, yaş, yaşayış yeri, iş ünvanı və s. bu kimi fərdi məlumatlarını haqqında danışılan boşluq vasitəsilə birbaşa əldə edə, həmçinin, istifadəçinin məlumatı və icazəsi olmadan onun mesajlarını oxuya, dost siyahısına baxa bilər, hətta istifadəçinin hesabından sərbəst şəkildə istifadə etmələri mümkündür.
Məsələn, hər hansı bir sayta daxil olursunuz və orada “Connect with Google+” (“Google+ hesabı ilə qoşul”), “Connect with Facebook” (“Facebook hesabı ilə qoşul”) və s. düymələrinı kliklədiyiniz zaman yeni pəncərənin açıldığını görürsünüz. Bu qoşulma prosesi “OAuth” protokolu vasitəsilə həyata keçirilir.
Bu protokolda aşkar olunmuş “Covert Redirect” boşluğu qoşulma zamanı həmin saytla yanaşı, hücumçuya da sizin hesabınızdan məlumatları əldə etməyə imkan verir. Qeyd edək ki, bu boşluq sizi müxtəlif bənzər saytlara da yönləndirə, orada sizə sosial hesabınızla giriş etmə təklif edə bilər ki, bu da məlumatlarınızın oğurlanmasına səbəb ola bilər”.
ETM vurğulayır ki, “OAuth” - açıq giriş protokoludur. Bu protokol istifadəçiyə üçüncü tərəfə login və şifr təqdim etmədən müxtəlif təhlükəsiz resurslara vahid hesabla giriş etmək imkanı verir.
“OpenID” isə mərkəzləşdirilmiş autentifikasiya sisteminin açıq standartıdır. Bu standart istifadəçiyə bir-biri ilə əlaqəli olmayan internet resurslarda autentifikasiya üçün vahid hesab yaratmağa imkan verir.
SEYMUR
ETM-dən xəbərdarlıq: “Sosial şəbəkələrdəki səhifələr bu yolla istifadə oluna bilər”
Rabitə və Yüksək Texnologiyalar Nazirliyi yanında Elektron Təhlükəsizlik Mərkəzi (ETM) sosial şəbəkələrlə bağlı növbəti xəbərdarlıq edib.Mərkəzdən "ICTnews" elektron xəbər xidmətinə verilən məlumata görə, “OAuth 2.0” və “OpenID” texnologiyalarındakı təhlükəsizlik boşluğu sosial şəbəkə hesablarına təhlükə yaradır.
ETM qeyd edir ki, “OAuth 2.0” və “OpenID” autentifikasiya texnologiyalarında aşkar olunmuş Gizli Yönləndirmə (Covert Redirect) təhlükəsizlik boşluğu sayəsində hücumçular sözügedən şəbəkələrdə istifadəçilər tərəfindən yazılan istənilən məlumatı ələ keçirə və istifadəçiləri təhlükəli saytlara yönləndirə bilər:
“Müəyyən olunmuş bu boşluq hazırda “Facebook”, “Google”, “Yahoo!”, “LinkedIn”, “Microsoft”, “Paypal”, “GitHub”, “QQ”, “Taobao”, “Weibo”, “VK”, “Mail.Ru”, “Sohu” və s. bu kimi bütün sosial şəbəkələrə təsir etməkdədir. Belə ki, bədniyyətlilər “OAuth 2.0” və “OpenID” vasitəsilə autentifikasiya sosial şəbəkə istifadəçisinin e-poçt, yaş, yaşayış yeri, iş ünvanı və s. bu kimi fərdi məlumatlarını haqqında danışılan boşluq vasitəsilə birbaşa əldə edə, həmçinin, istifadəçinin məlumatı və icazəsi olmadan onun mesajlarını oxuya, dost siyahısına baxa bilər, hətta istifadəçinin hesabından sərbəst şəkildə istifadə etmələri mümkündür.
Məsələn, hər hansı bir sayta daxil olursunuz və orada “Connect with Google+” (“Google+ hesabı ilə qoşul”), “Connect with Facebook” (“Facebook hesabı ilə qoşul”) və s. düymələrinı kliklədiyiniz zaman yeni pəncərənin açıldığını görürsünüz. Bu qoşulma prosesi “OAuth” protokolu vasitəsilə həyata keçirilir.
Bu protokolda aşkar olunmuş “Covert Redirect” boşluğu qoşulma zamanı həmin saytla yanaşı, hücumçuya da sizin hesabınızdan məlumatları əldə etməyə imkan verir. Qeyd edək ki, bu boşluq sizi müxtəlif bənzər saytlara da yönləndirə, orada sizə sosial hesabınızla giriş etmə təklif edə bilər ki, bu da məlumatlarınızın oğurlanmasına səbəb ola bilər”.
ETM vurğulayır ki, “OAuth” - açıq giriş protokoludur. Bu protokol istifadəçiyə üçüncü tərəfə login və şifr təqdim etmədən müxtəlif təhlükəsiz resurslara vahid hesabla giriş etmək imkanı verir.
“OpenID” isə mərkəzləşdirilmiş autentifikasiya sisteminin açıq standartıdır. Bu standart istifadəçiyə bir-biri ilə əlaqəli olmayan internet resurslarda autentifikasiya üçün vahid hesab yaratmağa imkan verir.
SEYMUR
Baxış sayı: 692
© İstifadə edilərkən İctnews-a istinad olunmalıdırOxşar xəbərlər
- Tanınmış antivirus şirkəti Azərbaycan bazarına daxil olmaq istəyir
- BMT müəssisələri kibertəhlükələrlə mübarizə aparacaq
- Mobil telefonların İMEİ kodları
- ABŞ məmurlarının və siyasətçilərinin hesabları sındırılıb
- Hakerlər “Sony” şirkətini “sındırdı”
- “Panasonic” smartfon bazarına çıxır
- Şimali Koreya ixtisaslı hakerlər yetişdirir
- Facebook hakerlarin diqqət mərkəzindədir
- VİRTUAL ALƏMİN İNTELLEKTUAL OĞRULARI
- Azərbaycanda şəbəkə insidentləri və virus aktivliyi
- iOS 5-i sındırıblar
- Rusiyada “Təhlükəsiz İnternet Cəmiyyəti” yaranıb
- Yunanıstanda İnterpol və Pentaqonun saytlarını qıran haker həbs edilib
- NASA dünya ictimaiyyətini diqqətli olmağa çağırıb
- Yeni Zellandiya kibertəhlükəsizlik strategiyasını həyata keçirir