Các cuộc tấn công “SpoofedMe” khai thác lỗi đăng nhập LinkedIn, Amazon

Các nhà nghiên cứu an ninh X Force của IBM đã tìm thấy một cách đơn giản để đạt được quyền truy cập vào tài khoản web bằng cách tận dụng cách thức cấu hình của một số dịch vụ đăng nhập mạng xã hội.

Những dịch vụ này cho phép một người đăng nhập vào một dịch vụ web sử dụng thông tin LinkedIn của họ. Đó là một cách thuận tiện cho người dùng tạo tài khoản mới trên các trang web bằng cách sử dụng thông tin hiện có.

Nhưng trong một số trường hợp, các nhà nghiên cứu tìm thấy họ có thể giành quyền kiểm soát tài khoản tại Slashdot.org, Nasdaq.com, Crowdfunder.com và những trang khác bằng cách lợi dụng cơ chế đăng nhập mạng xã hội LinkedIn.

Or Peles và Roee Hay của hệ thống an ninh IBM cho biết các dịch vụ nhận dạng khác cũng dễ bị “SpoofedMe” tấn công.

LinkedIn, Amazon và Vasco, tất cả các nhà cung cấp thông tin cá nhân, đã sửa tất cả lỗi hoặc thực hiện các biện pháp để ngăn chặn việc truy cập tài khoản như vậy, sau khi nhận được thông báo từ IBM. Nhưng vấn đề này cần được cả hai bên, nhà cung cấp thông tin cá nhân và các trang web của bên thứ ba lưu tâm.

Các cuộc tấn công lạm dụng LinkedIn được thể hiện trong một đoạn video đăng tải trên blog. Những kẻ tấn công tạo ra một tài khoản LinkedIn, sử dụng địa chỉ email của nạn nhân.

LinkedIn sẽ gửi một email xác minh tới các nạn nhân để đảm bảo người đó có quyền kiểm soát địa chỉ. Nhưng với các mục đích của kẻ tấn công, điều đó không quan trọng.

Khi tài khoản LinkedIn được tạo ra, kẻ tấn công truy cập vào Slashdot và sử dụng các tính năng đăng nhập xã hội, lựa chọn LinkedIn là nhà cung cấp danh tính. Các nhà cung cấp danh tính không song hành với các thông tin của một người tới các trang web của bên thứ ba, nhưng lại cung cấp thông tin như địa chỉ email.

Slashdot.org đối chiếu địa chỉ email của nạn nhân được Linkedln thông qua với các tài khoản hiện có, cho phép kẻ tấn công kiểm soát tài khoản. Sau đó, các tài khoản có thể được sử dụng để gửi các liên kết độc hại cho với những người tin rằng nội dung được đăng tải bởi một nguồn đáng tin cậy.

Các nhà nghiên cứu cảnh báo rằng cuộc tấn công chỉ hiệu quả nếu nạn nhân chưa có một tài khoản với một nhà cung cấp nhận dạng.

Có hai lỗ hổng trong cách tiếp cận này: Slashdot.org không nên tin tưởng vào địa chỉ email trừ khi nhà cung cấp danh tính biết rằng địa chỉ này đã được xác nhận, và nhà cung cấp danh tính nên chờ đợi cho đến khi các địa chỉ email đã được xác minh.

LinkedIn dễ bị xâm nhập khi nó dùng phiên bản 1.0a của giao thức OAuth cho các đăng nhập xã hội. LinkedIn cũng sử dụng OAuth 2.0, phiên bản này dừng quá trình xác thực nếu các địa chỉ email chưa được xác minh.

Nhưng “Điều đáng nói ở thời điểm bài viết này được công bố là chắc chắn đa số các trang web chúng tôi gặp sử dụng LinkedIn như một nhà cung cấp sử dụng phiên bản 1.0 dễ bị xâm nhập”, các nhà nghiên cứu viết.

Các nhà nghiên cứu tìm thấy một vấn đề tương tự trong chức năng “Đăng nhập với Amazon”.

“Chúng tôi phát hiện ra rằng ngoài việc cho phép chúng tôi đăng ký tài khoản với một địa chỉ email chúng tôi không sở hữu và thông qua nó như một phần của quá trình chứng thực đăng nhập xã hội, nó cũng cho phép chúng tôi thay đổi địa chỉ email tài khoản Amazon sang một địa chỉ chưa được xác minh, biến nó thành địa chỉ email chính của tài khoản mới.

Nhóm bảo mật của Amazon đã viết tài liệu hướng dẫn thêm về cách liên kết các tài khoản, bao gồm cả kiểm tra email.

Pcworld