Протоколы поддержки единых точек входа (Single Sign On, SSO), с помощью которых пользователь, зарегистрировавшись на одном из сайтов, может входить на другие без дополнительной процедуры регистрации, имеют ряд уязвимых мест, открывающих злоумышленникам возможность входить в системы под чужим именем. В числе сайтов, поддерживающих такую систему, Google и Facebook.
Ученые из Университета штата Индиана и Microsoft Research провели исследование, которое позволило выявить целый ряд серьезных изъянов защиты в системах OpenID и единой точки входа, используемых Facebook, а также в реализации таких систем еще на ряде популярных сайтов.
Технологией OpenID пользуются, в частности, Google и PayPal. Отчет об исследовании, озаглавленный Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services («Разрешите войти в Facebook и Google под вашим именем: изучение аспектов защиты коммерческих веб-сервисов единой точки входа на основе анализа трафика»), опубликован в Интернете в открытом доступе.
«Простота для пользователей оборачивается серьезными сложностями в управлении защитой», — отметил один из участников исследования Сяо Фенг Ванг.
Когда пользователь пытается зайти на какой-либо сайт через систему единой точки входа, между сайтом, на котором пользователь находится в данный момент, и провайдером, который хранит идентификационную информацию, происходит диалог.
Сайт просит подтвердить определенную информацию, провайдер отвечает утвердительно или отрицательно.
Но, как это обычно бывает в большинстве переговоров, здесь возможно неправильное понимание.
Одно из уязвимых мест, выявленных исследователями, состоит в том, что не все сайты гарантируют, что при верификации в OpenID будут проверены все элементы, которые данный сайт попросил подтвердить, то есть имя, фамилия и электронный адрес.
Используя систему подтверждения подлинности Facebook, исследователи смогли «убедить» другие сайты, что они представляют собой иные лица, и получить доступ к идентификационным данным легитимных пользователей Facebook.
В ходе исследования было проанализировано только несколько популярных сайтов, в том числе Sears, Yahoo!, веб-сервис управления проектами Smartsheet, портал популярной игры FarmVille в Facebook и сайт издания New York Times.
Ученые заявили, что все обнаруженные и задокументированные изъяны исправлены.
Вангу неизвестны случаи использования злоумышленниками узких мест, обнаруженных им или его коллегами.
Однако, по его словам, есть ощущение, что подобных проблем на других сайтах, использующих системы единой точки входа, еще очень много.
Аналитик Forrester Research Андрас Цзер назвал платформу OpenID чрезвычайно ненадежной.
Уязвимые места системы идентификации Facebook, по его словам, представляют собой гораздо большую опасность, чем взлом самого Facebook. Опасно то, что множество сайтов применяют для идентификации пользователей систему Facebook Connect.
Цзер полагает, что решить проблему поможет использование двухфакторной идентификации.
Запросы на вход, исходящие от нового устройства или из необычного места, должны включать второй цикл обмена вопросами, уточняющими параметры пользователя, или требовать от него введения временного пароля в виде текстового сообщения.