(Bilde: Istockphoto/12421954)

OAuth- og OpenID-svakhet er ingen ny nettkrise

Ikke grunn til panikk rundt innloggingen til Facebook, Google, LinkedIn med flere.

Det ikke bare den tørre skogen som er brannfarlig i disse tider – også på Internett sitter varskuropene løst etter Heartbleed-feilen som fikk så stor mediedekning forrige måned.

Nå er det en ny gnist som truer med å lage bekymringsfolder i pannebrasker verden over. «Covert Redirect» er navnet som problembarnet har fått, etter at det ble oppdaget og publisert av en doktorgradsstudent i forrige uke.

Covert Redirect utnytter en svakhet ved autoriserings- og autentiseringsstandardene OAuth 2.0 og OpenID, som er tatt i bruk av mange av de store nettkjempene. Facebook, Google, Yahoo, LinkedIn, Microsoft og Paypal er blant de som er rammet av problemet, som kort forklart går ut på at en tredjepartsapplikasjon via en godkjent mottakernettside med open redirect kan videresende brukeren eller dennes data til en ondsinnet nettside.

På denne måten kan brukerdata snappes opp, for eksempel grunnleggende persondata som navn, alder og e-postadresse dersom vi snakker om Facebook.

Men etter alt å dømme er faktisk ikke Covert Redirect noe å få panikk over.

Svakhet, ikke sikkerhetshull

Pust rolig og trykk på denne.
Pust rolig og trykk på denne.Foto: Shutterstock

I motsetning til Heartbleed, som jo faktisk var et alvorlig sikkerhetshull, er Covert Redirect snarere en svakhet. For å bli rammet krever det at brukeren gjør noe aktivt, og faktisk gir tillatelse til at tredjeparts utviklere kan ta i bruk personlige data.

Et annet poeng er at dette egentlig ikke er noe direkte ukjent problem, noe som betyr at flere av nettjenestene har kunnet finne måter å redusere faren på. LinkedIn krever for eksempel at slike vidersendings-URL-er skal registreres i en egen hviteliste mens PayPal også har lagt til ekstra sikkerhetselementer og mener at kundene ikke kan rammes av en slik Covert Redirect.

Lite å gjøre med

Bortsett fra å utvise litt sunt bondevett når det kommer til hvilke tredjepartstjenester du velger å gi tilgang til dataene dine – for ikke å snakke om hvilke data det faktisk gjelder – er det lite du selv kan gjøre for å «beskytte deg» mot Covert Redirect.

Det er nemlig i stor grad opp til de forskjellige tjenestetilbyderne å beskytte seg – og dermed også deg – mot utnyttelse av brukerdata. Men siden svakheten gjerne ligger hos de forskjellige partnernes nettsider, vil dette gjerne være vanskelig for et nettsted som Facebook med sine horder av slike partnere.

Men det betyr ikke at hver enkelt av oss er hjelpeløse. Å ukritisk gi bort personlig informasjon har aldri vært smart, og om ikke annet bidrar søkelyset på denne svakheten til at vi kanskje tenker oss om to og tre ganger før vi klikker på «jeg godtar»-knappen neste gang. Som nevnt hjelper det altså med sunn fornuft.

Nettet vil nemlig aldri bli 100 prosent sikkert:
Derfor ble Heartbleed en sikkerhetskrise >>>

Kilde: SoftPedia

Norges beste mobilabonnement

August 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1 GB


Jeg bruker middels mye data:

Chili Medium 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen