COVERT REDIRECT, O NOVO HEARTBLEED

O bug Heartbleed, causado por um erro no software para proteção de dados OpenSSL, pode ter um sucessor nem tanto pela forma técnica como ele ocorreu, mas pelo estrago que pode causar: trata-se do Covert Redirect, brecha existente em duas ferramentas de login muito utilizadas, o OpenID e o OAuth.

Covert-Redirect

De acordo com publicação do site de notícias CNET, a falha permite que golpes se disfarcem em pop-ups de verificação. Um site autêntico, que pode ser usado no golpe, pode gerar uma janela pedindo que o internauta autorize algum aplicativo, por exemplo. Caso ele aceite, isso já é suficiente para o ataque da praga virtual.

Entre as informações que podem ser roubadas com o Covert Redirect estão dados básicos, como nome completo e data de nascimento, até a lista de contatos e endereço de e-mail. Em alguns casos o criminoso digital pode até controlar o perfil da pessoa por meio do bug.

O erro foi descoberto pelo estudante de doutorado da Nanyang Technological University, de Cingapura, Wang Jing. Vários sites utilizam OpenID e OAuth, entre eles estão: Facebook, Microsoft, Google, LinkedIn, Yahoo!, PayPal, QQ, Weibo, VK, GitHub, entre muitos outros.

Fonte: Baboo

Ricardo Galossi
Siga me
Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Deixe seu comentário