A estas alturas estoy seguro que si lees Heartbleed inmediatamente te saltan cientos de noticias a la cabeza, donde han estado hablando en todo Internet de su vulnerabilidad crítica del lado del servidor y que afectaba a millones de sitios.
Pues si ya con este fallo de seguridad estábamos más que saturados de alarmas, no bajes la guardia ya que han descubierto un fallo de seguridad similar pero para los protocolos OAuth y OpenID.
Recordemos que OAuth y OpenID son los protocolos ampliamente utilizados para iniciar sesión en los sitios web utilizando credenciales sociales.
Ambos protocolos al igual que OpenSSL de código abierto lo que significa que si han pillado el fallo, son muchos los hackers que pueden estar empezando a explotar esa vulnerabilidad y esta vez obteniendo datos sensibles para muchos usuarios.
El estudiante de Doctorado Wang Jing desde una universidad en Singapur, es quien ha dado con esta vulnerabilidad que ha bautizado como «Covert Redirect» y que logra lanzar una ventana emergente (pop-up) que haga parecer que es Facebook y solicite la credencial del usuario (usuario y contraseña) que terminaran en manos de los ciberdelincuentes.
Además la cosa se complica porque el enlace final parece que esta apuntando al sitio de Facebook, pero lo cierto es que no hay manera de descubrirlo de forma sencilla.
El descubridor de la vulnerabilidad ha dado a conocer el fallo a empresas como: Google, Microsoft y Facebook, pero claro el problema no es de estás empresas si no de los creadores de esos protocolos.
Así que esta trama pica y se extiende con más protocolos que se han dejado de lado una prueba de software, que hubiese evitado todos estos males que hoy están pasando (desarrollador y tester no pueden ser la misma persona, reglas básicas de QA).
Vía: CNET
Pingback: Bitacoras.com