Διαφημίσεις Google

                                  
Η Πύλη Της Τεχνολογίας-Gate Of Tech

Η Πύλη Της Τεχνολογίας: Τεχνολογικά Νέα - Επιστήμες - Μαθηματικά – Πληροφορική - Φυσική – Διάστημα – Βιολογία - Ιατρική – Πλανήτης

energo_back

pop_up_face

Διαφημίσεις Google

                                  

Σάββατο, 10 Οκτωβρίου 2015

Ένας ερευνητής ασφαλείας έχει κερδίσει $ 24.000 από τη Microsoft

hacking-outlook-email microsoft Ένας ερευνητής ασφαλείας έχει κερδίσει $ 24.000 από τη Microsoft για την εύρεση μιας κρίσιμης ευπάθειας στο σύστημα ελέγχου ταυτότητας στο Live.com, που θα μπορούσε να επιτρέψει σε χάκερ να αποκτήσει πρόσβαση σε λογαριασμό Outlook ενός χρήστη ή σε άλλες υπηρεσίες της Microsoft.Η υπηρεσία Live.com της Microsoft είναι το σύστημα ελέγχου ταυτότητας που όλοι διαπερνούν, όταν ο χρήστης πρέπει να ταυτοποιηθεί για τη χρήση του Outlook.com και άλλων υπηρεσιών της Microsoft,.... συμπεριλαμβανομένων των OneDrive, Windows Phone, Skype και το Xbox LIVE.
Παραβιάζοντας έναν λογαριασμό Hotmail (Outlook.com)
Είναι ένας λογαριασμό για όλες τις υπηρεσίες. Έτσι, αν για παράδειγμα, το Outlook θέλει να έχει πρόσβαση σε άλλες εφαρμογές, χρησιμοποιεί ένα τυποποιημένο σύνολο κώδικα που ονομάζεται OAuth.
Το OAuth είναι ένα ανοικτό πρότυπο για παροχή πρόσβασης, που κρατά τους κωδικούς πρόσβασης σας ασφαλές σημείο κατά την επίσκεψη άλλων ιστοσελίδων και αντί να μοιράζεται τον κωδικό πρόσβασης του χρήστη, μοιράζεται ένα ειδικό κλειδί που ονομάζεται «διακριτικό πρόσβασης» (Access token), για να αποκτήσει πρόσβαση στο app.
Η πρόσβαση μέσω OAuth επιτυγχάνεται μέσα από μια ερώτηση, όπως φαίνεται παρακάτω, όπου για να γίνει επιτρεπτή και να πραγματοποιήσει είσοδο ο χρήστης στο λογαριασμό του, θα πρέπει να κάνει κλικ στο «Yes».
eik1 microsoft
Ωστόσο, o ερευνητής ασφαλείας, Wesley Wineberg εντόπισε ένα σοβαρό σφάλμα που του επέτρεψε να παρακάμψει τον μηχανισμό προστασίας OAuth της Microsoft χρησιμοποιώντας την κακόβουλη εφαρμογή του «proof-of-concept», που ονομάζεται «Evil App».
Σύμφωνα με τις τεχνικές λεπτομέρειες που δημοσίευσε ο ερευνητής ασφάλειας, κακόβουλες εφαρμογές των εισβολέων, μπορούν να αποκτήσουν πρόσβαση στο λογαριασμό του θύματος, ξεγελώντας το θύμα να επισκεφτεί μια ιστοσελίδα, η οποία δεν απαιτεί καμία άλλη αλληλεπίδραση από τον χρήστη.
Επίδειξη
Μπορείτε να παρακολουθήσετε την επίθεση στο παρακάτω βίντεο:.....

Διαβάστε περισσότερα στο: www.secnews.gr