페이스북으로 로그인하세요. 구글로 로그인하세요. 웹 사이트는 정기적으로 쉽게 로그인하여 우리가 방문할 수 있도록 하고 개인 데이터 파이의 한 조각을 움켜쥘 수 있도록 합니다. 그러나 비용은 얼마입니까? 보안 연구원은 최근 Facebook으로 로그인 취약점을 발견했습니다. 수천 개의 사이트에서 찾을 수 있는 기능입니다. 마찬가지로 Google 앱 도메인 이름 인터페이스 내의 버그로 인해 수십만 명의 개인 개인 데이터가 대중에게 노출되었습니다.
이들은 가장 큰 가정용 기술 이름 중 두 가지가 직면한 심각한 문제입니다. 이러한 문제는 적절한 불안으로 처리되고 취약점이 패치되지만 대중에게 충분한 인식이 제공됩니까? 각 경우와 웹 보안에 어떤 의미가 있는지 살펴보겠습니다.
사례 1:Facebook으로 로그인
Login with Facebook 취약점은 계정을 노출하지만 실제 Facebook 비밀번호는 노출하지 않으며 Bit.ly, Mashable, Vimeo, About.me와 같이 사용자가 설치한 타사 애플리케이션을 노출합니다. 및 기타 호스트.
Sakurity의 보안 연구원인 Egor Homakov가 발견한 치명적인 결함으로 인해 해커가 Facebook 코드의 감독을 남용할 수 있습니다. 결함은 적절한 교차 사이트 요청 위조 부족에서 비롯됩니다. (CSFR) 세 가지 다른 프로세스에 대한 보호:Facebook 로그인, Facebook 로그아웃 및 타사 계정 연결. 취약점은 본질적으로 원치 않는 당사자가 인증된 계정 내에서 작업을 수행하도록 허용합니다. 이것이 왜 중요한 문제인지 알 수 있습니다.
그러나 Facebook은 아직까지 수많은 사이트와의 호환성을 손상시킬 수 있으므로 이 문제를 해결하기 위해 거의 조치를 취하지 않았습니다. 세 번째 문제는 관련 웹사이트 소유자라면 누구나 해결할 수 있지만 처음 두 가지는 전적으로 Facebook 문에 있습니다.
Facebook이 수행한 조치가 없음을 더 잘 보여주기 위해 Homakov는 RECONNECT라는 해커 도구를 출시하여 이 문제를 더욱 발전시켰습니다. 이것은 버그를 악용하여 해커가 타사 사이트의 계정을 가로채는 데 사용되는 사용자 지정 URL을 만들고 삽입할 수 있도록 합니다. Homakov는 도구 출시에 대해 무책임하다고 할 수 있지만 1년 전에 밝혀진 취약점 패치를 Facebook이 거부했기 때문입니다. .
그동안 경계를 유지하십시오. 스팸처럼 보이는 페이지에서 신뢰할 수 없는 링크를 클릭하거나 모르는 사람의 친구 요청을 수락하지 마십시오. Facebook은 또한 다음과 같은 성명을 발표했습니다.
<블록 인용>"이는 잘 알려진 동작입니다. 로그인을 사용하는 사이트 개발자는 모범 사례를 따르고 OAuth 로그인에 대해 제공하는 '상태' 매개변수를 사용하여 이 문제를 방지할 수 있습니다."
격려합니다.
사례 1a:누가 나를 친구로 만들지 않았습니까?
다른 Facebook 사용자는 타사 OAuth 로그인 자격 증명 도용을 노리는 또 다른 "서비스"의 먹이가 되고 있습니다. OAuth 로그인은 사용자가 타사 애플리케이션이나 서비스에 비밀번호를 입력하지 못하도록 하여 보안 장벽을 유지하도록 설계되었습니다.
UnfriendAlert와 같은 서비스 온라인 우정을 포기한 사람을 찾으려는 개인을 사냥하고 개인에게 로그인 자격 증명을 입력하도록 요청한 다음 악성 사이트 yougotunfriended.com으로 바로 보냅니다. . UnfriendAlert는 잠재적으로 원치 않는 프로그램(PUP)으로 분류되어 의도적으로 애드웨어 및 맬웨어를 설치합니다.
유감스럽게도 Facebook은 이와 같은 서비스를 완전히 중단할 수 없으므로 서비스 사용자는 사실인 것처럼 보이는 일에 속지 않고 경계를 늦추지 않을 책임이 있습니다.
사례 2:Google Apps 버그
두 번째 취약점은 도메인 이름 등록을 처리하는 Google Apps의 결함에서 비롯됩니다. 웹사이트를 등록한 적이 있다면 이름, 주소, 이메일 주소 및 기타 중요한 개인 정보를 제공하는 것이 프로세스에 필수적이라는 것을 알게 될 것입니다. 등록 후 충분한 시간이 있는 사람은 누구나 Whois를 실행할 수 있습니다. 등록 중에 개인 데이터를 비공개로 유지하도록 요청하지 않는 한 이 공개 정보를 찾기 위해. 이 기능은 일반적으로 비용이 발생하며 전적으로 선택 사항입니다.
eNom 및을 통해 사이트를 등록하는 개인 비공개 Whois를 요청한 결과 데이터가 18개월 정도에 걸쳐 천천히 유출된 것으로 나타났습니다. 2월 19일 에 발견된 소프트웨어 결함 5일 후에 연결하면 등록이 갱신될 때마다 개인 데이터가 누출되어 개인이 여러 데이터 보호 문제에 노출될 수 있습니다.
282,000개의 대량 레코드 릴리스에 액세스하는 것은 쉽지 않습니다. 웹에서 우연히 발견하지 못할 것입니다. 그러나 그것은 이제 구글의 실적에서 지울 수 없는 흠이 되었으며, 인터넷의 광대한 영역에서도 마찬가지로 지울 수 없습니다. 그리고 개인의 5%, 10% 또는 15%라도 고도로 표적화된 악성 스피어 피싱 이메일을 받기 시작하면 Google과 eNom 모두에게 심각한 데이터 골칫거리가 됩니다.
사례 3:나를 속였다
이것은 해커가 많은 인기 사이트에서 활용되는 타사 로그인 시스템을 다시 악용할 수 있는 다중 네트워크 취약점입니다. 해커는 이전에 취약한 서비스에 알려진 피해자의 이메일 주소를 사용하여 식별된 취약한 서비스에 요청을 보냅니다. 그런 다음 해커는 가짜 계정으로 사용자의 세부 정보를 스푸핑하여 확인된 이메일 확인이 완료된 소셜 계정에 액세스할 수 있습니다.
이 해킹이 작동하려면 제3자 사이트가 다른 ID 제공자를 사용하는 하나 이상의 다른 소셜 네트워크 로그인 또는 로컬 개인 웹사이트 자격 증명을 사용하는 기능을 지원해야 합니다. 이는 Facebook 해킹과 유사하지만 Amazon, LinkedIn, MYDIGIPASS를 비롯한 광범위한 웹사이트에서 볼 수 있으며 잠재적으로 악의적인 의도로 민감한 서비스에 로그인하는 데 사용될 수 있습니다.
결함이 아니라 기능입니다
이 공격 모드에 연루된 사이트 중 일부는 실제로 심각한 취약점이 탐지되지 않도록 하고 있습니다. 바로 시스템에 구축되어 있습니다. 한 가지 예가 트위터입니다. 바닐라 트위터는 좋습니다. , 계정이 하나인 경우. 다양한 업계에서 다양한 잠재고객에게 접근하는 여러 계정을 관리하고 있다면 Hootsuite 또는 TweetDeck과 같은 애플리케이션이 필요합니다.
이러한 응용 프로그램은 소셜 네트워크에 직접 액세스해야 하므로 매우 유사한 로그인 절차를 사용하여 Twitter와 통신하고 사용자는 동일한 권한을 제공해야 합니다. 제3자 앱이 소셜 영역에 많은 것을 가져다주지만 사용자와 제공자 모두에게 보안 불편을 분명히 야기하기 때문에 많은 소셜 네트워크 제공자에게 어려운 시나리오를 만듭니다.
정리
이제 식별하고 피할 수 있어야 하는 3가지 소셜 로그인 취약점을 식별했습니다. 소셜 로그인 해킹은 하루아침에 끝나지 않을 것입니다. 해커에 대한 잠재적인 보상은 너무 커서 Facebook과 같은 대규모 기술 회사가 사용자의 최선의 이익을 위해 행동하기를 거부하면 기본적으로 문을 열고 데이터 개인 정보 보호 문 앞에서 발을 닦도록 내버려 두는 것입니다.
제3자에 의해 소셜 계정이 도용되었습니까? 무슨 일이에요? 어떻게 회복하셨나요?