La web se está recuperando de Heartbleed, una de las mayores violaciones de la seguridad de la historia, con un error en OpenSSL. Sin embargo, otro error fue encontrado en otras herramientas, ingresa muy extendida: OAuth y OpenID, utilizado por gigantes como Facebook, Google y Microsoft.
El error fue encontrado por Jing Wang, estudiante de doctorado en la Universidad Tecnológica de Nanyang en Singapur. La vulnerabilidad, llamada "Covert Redirect", permite que el pretexto de la amenaza como un inicio de sesión emergente basada en el sitio afectado. A continuación se muestra una lista de los principales sitios afectados.
Un ejemplo dado por CNET: un vínculo malicioso de phishing puede generar una ventana emergente de Facebook, pidiendo permiso para una aplicación. Por lo tanto, no es necesario o incluso el uso de un dominio falso para engañar a la víctima; Usted puede utilizar el sitio real para la autenticación.
Una vez que el usuario autoriza el inicio de sesión, su información personal se envía directamente al criminal cibernético, en lugar del sitio legítimo. Esto incluye direcciones, fechas de nacimiento, lista de contactos y, posiblemente, el control total de la cuenta.
Un consejo para evitar problemas es el mismo de siempre: Evitar hacer clic en enlaces sospechosos que solicitan la realización de una sesión inmediata Google o Facebook. Si el usuario final hace clic en el vínculo, pero no inicie sus datos debe permanecer a salvo.
No hay comentarios:
Publicar un comentario