OAuth 2.0 en OpenID worden onder meer gebruikt door sociale mediasites als Facebook en LinkedIn, maar ook door Google en Microsoft. Wang Jing, de student in kwestie, heeft zijn ontdekte gat Covert Redirect genoemd.

Argeloze Facebooker erin geluisd

De kwetsbaarheid zorgt ervoor dat een argeloze websurfer via een geposte link op bijvoorbeeld Facebook een pop-up krijgt van een app die vraagt om autorisatie. Het slimme ervan is dat de app het adres van de echte site van de app gebruikt, waardoor ontdekking niet mogelijk is. Als de app geautoriseerd wordt, wordt de data van de gebruiker vrijgegeven, maar belandt dan niet bij de legitieme website, maar bij de aanvaller.

Afhankelijk van de toestemming die aan de app wordt gegeven, behelst de overgedragen data behalve de persoonsgegevens ook het e-mailadres, contactenlijst en soms zelfs het beheren van het gehele account. Vervolgens wordt de gebruiker doorgeleid naar een website die de aanvaller heeft uitgezocht. Dat kan een website zijn vol kwaadaardige software, waardoor ook de computer van de gebruiker kan worden aangevallen.

Eran Hammer, de bedenker van versie 1.0 van OAuth, noemde versie 2.0 al in 2012 de 'weg naar de hel'. Er werden zoveel aanpassingen in het protocol gedaan dat belangrijke beveiligingsaspecten uit de oorspronkelijke versie, die in zijn ogen essentieel zijn voor het gebruik op het internet, zijn verdwenen. "We zullen waarschijnlijk grote beveiligingsproblemen zien in de komende jaren. OAuth wordt zo'n gehaat protocol waar je niet vanaf komt."

Lees hier verder

Facebook "begrijpt de risico's"

Wang zegt bij CNet dat hij Facebook heeft ingelicht, maar daarop een lauw antwoord terug kreeg. Facebook meldde "de risico's die aan OAuth 2.0 kleven te begrijpen" en dat ze bezig zijn met het dwingen van apps op het platform om aan whitelisting te doen. "Het gat dichten is niet te doen op korte termijn."

Wang heeft ook de andere grote sociale mediasites benaderd. Alle zeggen bezig te zijn met het probleem. Microsoft zegt dat het niet zijn probleem is, maar dat van third-party sites. LinkedIn belooft met een blogpost te komen.

Typisch geval van WONTFIX

Volgens een door CNet geraadpleegde beveiligingsexpert zou dit gat mogelijk al eerder bekend zijn, en is het een duidelijk geval van WONTFIX. Dat betekent dat het niet makkelijk is op te lossen en dat elke effectieve oplossing de gebruikerservaring zal frustreren. "Het is weer een voorbeeld dat webveiligheid fundamenteel stuk is en de grote spelers weinig zin hebben de problemen aan te pakken."