Diverse beveiligingsdeskundigen doen het lek in OAuth 2.0 en OpenID, eind vorige week bekend geworden als Covert Direct, af als een bekend probleem, maar eigenlijk een feature. Meestal werkt een exploit niet en als het al werkt dan ligt het aan de site die het door de eigen implementatie mogelijk maakt dat er een 'foute' redirect URI wordt gegeven.

Vrijdag maakte Wang Jing, een student uit Singapore, bekend dat het via een redirect mogelijk is om de persoonsgegevens te stelen van iemand die autorisatie verleent aan een app via OAuth of OpenID. Maar, zo zeggen deskundigen, dat is moeilijker dan Jing dat voordoet. Tijdens het autorsatieproces zou de redirect_uri moeten worden aangepast om de gebruiker om te leiden. Dat blijkt niet altijd mogelijk.

Website-eigenaren kunnen zelf gat voorkomen

De website die OAth 2.0 of OpenID gebruikt om apps de autorisatie via gebruikers toegang te geven binnen zijn domein, kan dat via een gedegen implementatie vrijwel onmogelijk maken door bijvoorbeeld een validatie van de gevraagde uri te doen. Daarnaast is het gebruik van whitelisting, het van te voren goedkeuren van leveranciers van apps of de apps zelf, een wapen zijn.

Beschuldigende vingers gaan dan ook vooral naar Facebook. Waar de ene expert zegt dat het juist voor Facebook nauwelijks mogelijk is om aan whitelisting te doen vanwege de vele apps die worden aangeboden. Maar het sociale netwerk biedt ook de redirect aan terwijl juist die redirects kunnen worden ingeperkt, bijvoorbeeld door de redirectmogelijkheid op je eigen webserver in te stellen dat het de gevraagde URL in het eigen domein moet zoeken, zegt bijvoorbeeld Danny Thorpe van Dell.

Facebook conformeert zich niet aan standaarden

Het is dus niet het autorisatieprotocol dat de schuld moet krijgen van het kunnen stelen van de gegevens van gebruikers, maar de sites die dat protocol implementeren en daarbij ook gewoon open redirects aanbieden, zegt ook Eva Maler van Forrester tegen ZDnet. "Het probleem is ook herkend en de laatste versie van OAuth omzeilt dat. Maar sites als Facebook conformeren zich niet altijd aan de laatste standaarden en specificaties, maar daar is geen test of controle op."

Andere experts hebben een duidelijk advies, en die is aan de gebruiker: "Als mensen gewoon goed kijken naar waarvoor ze autorisatie geven voordat ze op een "ok" klikken bij een app-install is er niks aan de hand."