Bem-vindo: Qui, 28 de Novembro 2024, 2:20 Pesquisa avançada

Twitter, Microsoft, LinkedIn e Yahoo com vulnerabilidades!

Secção dedicada a Noticias que não estejam diretamente relacionadas com Software OpenSource! Partilhe aqui notícias sobre Internet, Curiosidades, Guiness, Desporto, Astronomia... resumidamente de tudo! :)

Twitter, Microsoft, LinkedIn e Yahoo com vulnerabilidades!

Mensagempor Claudio Novais » Sex, 22 de Março 2013, 22:02

Twitter, Microsoft, LinkedIn e Yahoo! abertos para sequestro de dados



Contas de usuários do Twitter, Linkedin, Yahoo! e Hotmail encontram-se atualmente vulneráveis para sequestro de dados graças a uma falha que permite que os cookies sejam roubados e reutilizados, de acordo com o pesquisador Narang Rishi. Todas as plataformas falham em não atribuir novas identidades de sessão, o que permite que um ataque de fixação de sessão ocorra nas contas que podem ser sequestradas. Veja o vídeo abaixo!

Um invasor precisaria interceptar cookies enquanto o usuário estivesse logado no serviço, uma vez que os cookies expiram quando o usuário encerra a sessão - com exceção do LinkedIn, que mantém seus cookies ativos por 3 meses, segundo explica o pesquisador. Sendo assim, invasores em posse do cookie correto teriam acesso irrestrito às contas, e pior: alterações de senha não impediriam o acesso.



A revista eletrônica SC Magazine repetiu a prova de conceito de Narang e foi capaz de acessar várias contas do Twitter inserindo o respectivo auth_token alfanumérico em cookies armazenados localmente no Twitter com a ajuda da extensão do navegador Cookie Manager.

Sabe-se que o Twitter tem conhecimento da vulnerabilidade. Microsoft Outlook e os serviços Live, bem como o Yahoo! também foram afetados, disse Narang. Twitter, Microsoft e Yahoo! utilizaram HTTPS para ajudar a mitigar o risco de que os cookies sejam remotamente interceptados, porém Narang revelou que isso não é o suficiente.

"Para mim, é um controle compensatório, não é uma correção para uma vulnerabilidade de gerenciamento de sessão" , disse Narang. "Há exemplos em que os cookies podem ser acessíveis para sequestrar sessões autenticadas. E estes cookies possuem dias, às vezes meses de idade. Como resultado, alguém pode conseguir acessar as contas que pertencem a indivíduos de diferentes locais do mundo" .

Chris Gatford, diretor da HackLabs, com base em Sydney e especializada em testes de penetração, ficou surpreso que essas grandes empresas deixassem a vulnerabilidade exposta. "É aplicativo web de segurança 101" , comentou. Ele disse ainda que outras técnicas de ataque seriam necessárias, a fim de roubar os cookies e ganhar acesso à conta de um local remoto. "O invasor poderia usar algum tipo de ataque de cruzamento de script (XSS) se não tivesse acesso físico à máquina" .

Durante os testes de penetração, Gatford encontrou muitas organizações expostas à vulnerabilidade mas que não conseguiu consertá-la depois de se tornarem cientes do problema. Ele disse que uma solução rápida para alguns frameworks complexos poderia ser a de utilizar dois cookies para o processo de login.

Referências:



Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Re: Twitter, Microsoft, LinkedIn e Yahoo com vulnerabilidade

Mensagempor dtelaroli » Sex, 22 de Março 2013, 23:13

isto é possível sim, mas é necessário ter acesso direto ao computador.
o risco maior é ao utilizar um computador público, onde a pessoa deve ter mais cuidado.

o twitter por exemplo, só salva a sessão se vc solicitar lembrar, então não vejo problema de segurança, mas sim o comportamento do usuário.

na minha opinião este tópico é muito alarmista, sem necessidade.
quem preferir é só usar navegação privada ou sempre apagar os cookies após o uso, pois sem cookie hoje em dia não tem internet.

dtelaroli
 
Mensagens: 2
Registrado em: 22 Março, 2013

Re: Twitter, Microsoft, LinkedIn e Yahoo com vulnerabilidade

Mensagempor Claudio Novais » Sáb, 23 de Março 2013, 16:48

Ter acesso sim, no entanto se conseguirem intercetar a ligação também podem conseguir. E isso é algo que não está longe de ser possível mesmo em comunicações HTTPS.
Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Re: Twitter, Microsoft, LinkedIn e Yahoo com vulnerabilidade

Mensagempor Exploit » Sáb, 23 de Março 2013, 18:09

o problema da cópia de cookies sempre existiu..

é como copiar uma chave de casa e queixar-se de quem fez a fechadura..
Avatar do usuário
Exploit
 
Mensagens: 1297
Registrado em: 31 Agosto, 2011

Re: Twitter, Microsoft, LinkedIn e Yahoo com vulnerabilidade

Mensagempor dtelaroli » Sáb, 23 de Março 2013, 23:12

exatamente Exploit

Exploit (23-03-2013, 17:09) escreveu:o problema da cópia de cookies sempre existiu..

é como copiar uma chave de casa e queixar-se de quem fez a fechadura..

dtelaroli
 
Mensagens: 2
Registrado em: 22 Março, 2013


Voltar para Notícias Gerais

Quem está online

Usuários navegando neste fórum: Google [Bot] e 15 visitantes