
Είναι ένας λογαριασμό για όλες τις υπηρεσίες. Έτσι, αν για παράδειγμα, το Outlook θέλει να έχει πρόσβαση σε άλλες εφαρμογές, χρησιμοποιεί ένα τυποποιημένο σύνολο κώδικα που ονομάζεται OAuth.
Το OAuth είναι ένα ανοικτό πρότυπο για παροχή πρόσβασης, που κρατά τους κωδικούς πρόσβασης σας ασφαλές σημείο κατά την επίσκεψη άλλων ιστοσελίδων και αντί να μοιράζεται τον κωδικό πρόσβασης του χρήστη, μοιράζεται ένα ειδικό κλειδί που ονομάζεται «διακριτικό πρόσβασης» (Access token), για να αποκτήσει πρόσβαση στο app.
Η πρόσβαση μέσω OAuth επιτυγχάνεται μέσα από μια ερώτηση, όπως φαίνεται παρακάτω, όπου για να γίνει επιτρεπτή και να πραγματοποιήσει είσοδο ο χρήστης στο λογαριασμό του, θα πρέπει να κάνει κλικ στο «Yes».

Ωστόσο, o ερευνητής ασφαλείας, Wesley Wineberg εντόπισε ένα σοβαρό σφάλμα που του επέτρεψε να παρακάμψει τον μηχανισμό προστασίας OAuth της Microsoft χρησιμοποιώντας την κακόβουλη εφαρμογή του «proof-of-concept», που ονομάζεται «Evil App».
Σύμφωνα με τις τεχνικές λεπτομέρειες που δημοσίευσε ο ερευνητής ασφάλειας, κακόβουλες εφαρμογές των εισβολέων, μπορούν να αποκτήσουν πρόσβαση στο λογαριασμό του θύματος, ξεγελώντας το θύμα να επισκεφτεί μια ιστοσελίδα, η οποία δεν απαιτεί καμία άλλη αλληλεπίδραση από τον χρήστη.
Επίδειξη
Μπορείτε να παρακολουθήσετε την επίθεση στο παρακάτω βίντεο:.....
Διαβάστε περισσότερα στο: www.secnews.gr