SEGURIDAD | Noticias | 03 ABR 2012

Importantes debilidades detectadas en sistemas single sign-on

Tags: Actualidad
Los protocolos single sign-on, que permiten a los usuarios registrarse en todo tipo de webs, con sus cuentas de Google o Facebook, sufren fallos de seguridad que podrían permitir a algún estafador suplantar identidades de cualquiera.
PCWORLD PROFESIONAL

Ésta es la principal conclusión que se extrae de un reciente estudio de seguridad llevado a cabo desde la Universidad Bloomington de Indiana y que ha contado con la participación de Microsoft Research. De hecho, algunos expertos han asegurado encontrar un buen número de fallos serios en OpenID y el sistema single sign-on utilizado por Facebook, además de implantaciones de estos sistemas en varias webs muy populares. Google y PayPal se encuentran entre los usuarios de OpenID.


“El problema es que el sistema de autenticación hace la vida más fácil pero convierte la gestión de la seguridad en algo más cambiante”, asegura XiaoFeng Wang, uno de los autores del informe.


Al realizar un registro basado en single sign-on, se inicia una conversación entre la Web que el usuario visita y el proveedor de la cuenta identificada. La web pide que se verifique cierta información y el proveedor de la cuenta responde con la aprobación o el rechazo. Pero, como en cualquier conversación, hay espacio para una mala interpretación.


En uno de los fallos detectados, por ejemplo, no todas las webs confirmaron que una verificación de OpenID incluía acceso a todos los elementos de la web, como el nombre o la dirección. Los analistas también fueron capaces de acceder a la petición, borrando una pieza de la información solicitada (la dirección de correo, por ejemplo) y la reinsertaron fácilmente en el OK recibido de OpenID. De esta forma, incluso un hacker que no controla la dirección de email enlazaría con la cuenta del usuario en la web y podría registrarse y potencialmente hacer compras utilizando la cuenta de esa persona.


Con el sistema de identificación de Facebook, los investigadores fueron capaces de persuadir a webs de terceros de que eran alguien que no eran en realidad y suplantar la cuenta de Facebook de otra persona.


El análisis se ha reducido a unas cuantas webs muy populares, como los de Sears, Yahoo!, la aplicación de gestión de proyectos web Smartsheet, el portal Facebook de FarmVille y la web del diario The New York Times.


El informe ha documentado todos los fallos detectados y no se conoce ningún caso en que estos fallos hayan sido explotados por ningún estafador, aunque Wang reconoce que “nuestra sensación es que hay muchos problemas similares” en webs que utilizan un sistema single sign-on.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información