Sikkerhedsmeddelelse til hjemmesider med OpenID Attribute Exchange

Af Mayank Upadhyay, Google Security Team

En gruppe af sikkerhedseksperter for nylig identificeret en fejl i den måde nogle OpenID signaturmodtagere gennemføre Attribute Exchange (AX), der kan forårsage en godkendelse bypass sårbarhed. Google er en stærk tilhænger af føderale login på nettet og vil gerne hjælpe med at udbrede kendskabet til dette spørgsmål til websteder, der er OpenID afhængige parter med henblik på at beskytte brugerne af disse hjemmesider. Dette spørgsmål primært påvirker hjemmesider, der fungerer som signaturmodtagere bruger OpenID4Java biblioteket.

Forskerne fastslog, at de ramte områder ikke var bekræftelse af, at visse oplysninger passeret gennem AX blev underskrevet korrekt. Hvis webstedet kun brugte AX til at modtage oplysninger som brugeren selv-hævdede køn, så dette spørgsmål ville være mindre. Men hvis det blev brugt til at modtage sikkerhedsfølsomme oplysninger, at kun de identity provider skal gøre, så konsekvenserne kunne blive værre.

En særlig identificeret scenarie indebærer en hjemmeside, der accepterer en usigneret AX attribut til e-mail-adresse, og derefter logger brugeren ind på en lokal konto på den pågældende hjemmeside i forbindelse med e-mailadresse. Når et websted beder Google's OpenID udbyder (IDP) for nogen e-mail-adresse, vi altid underskrive det på en måde, som ikke kan erstattes af en hacker. Men mange websites ikke bede om e-mail-adresser til privatliv grunde blandt andre, og så det er en helt legitim reaktion for de internt fordrevne ikke at medtage denne egenskab som standard. En hacker kunne skabe en OpenID anmode om, at der ikke beder om brugerens e-mail-adresse, og derefter indsætte et usigneret e-mail-adresse i de internt fordrevne respons. Hvis angriberen relæer dette svar til et websted, der ikke bemærker, at denne attribut ikke er signeret, kan hjemmesiden blive lokket til at logge angriberen i at enhver lokal konto.

Forskerne kontaktede den primære websteder de identificeret med denne sårbarhed, og disse lokaliteter har allerede indledt et fix. Ligeledes har Google og andre OpenID Foundation medlemmer har arbejdet på at identificere mange andre hjemmesider, der var påvirket og har hjulpet dem installere en rettelse. Der er ingen kendte tilfælde af dette angreb bliver udnyttet på nuværende tidspunkt.

En detaljeret forklaring af brugen af ​​hævdede id'er og e-mail adresser kan findes i Google's OpenID bedste praksis.

Google vil gerne takke sikkerhedseksperter Rui Wang, Shuo Chen og XiaoFeng Wang til rapportering af deres resultater. OpenID Foundation har også gjort en lignende blog-indlæg om emnet.

Handling påkrævet:
Hvis du er en OpenID afhængige part, så skal du læse de foreslåede Fix nedenfor for at se, om denne svaghed kan gælde for dig, og hvad man skal gøre ved it.If du er en applikationsudvikler, der bruger OpenID afhængige part tjenesteydelser fra en anden, lide din container udbyder eller nogle netværk mellemmand, bedes du læse Foreslåede Fix afsnit for at se, om din tjeneste er opført der. Ellers bør du tjekke med den pågældende enhed til at sikre de er ikke modtagelige for dette problem.
Foreslået Rettelse:

Som et første skridt, anbefaler vi at ændre sårbare afhængige parter til at acceptere AX attributværdier kun når den er underskrevet, uanset hvordan disse attributter kan få brugt.

Under vores undersøgelse har vi bekræftet, at apps bruger OpenID4Java biblioteket, med eller uden Trin 2 indpakning, er tilbøjelige til at acceptere usignerede AX attributter. OpenID4Java har været lappet med fix i version 0.9.6.662 (19 April 2011).

Kay Framework var kendt for at være sårbare, og er siden blevet lappet. Brugere bør opgradere til version 1.0.2 eller nyere. Bemærk, at Google App Engine udviklere, der bruger den indbyggede OpenID støtte behøver ikke at gøre noget.

Andre biblioteker kan have det samme problem, selv om vi ikke tror, ​​at den standard brug af OpenID tjenester og biblioteker fra Janrain, Ping Identity og DotNetOpenAuth er modtagelige for dette angreb. Dog kan standarderne tilsidesættes, og bør du dobbelttjekke din kode til det.

Vi foreslår også en gennemgang af din brug af e-mail-adresser hentes via OpenID til at sikre, at der er tilstrækkelige sikkerhedsforanstaltninger er på plads. En detaljeret forklaring af brugen af ​​hævdede id'er og e-mail adresser kan findes i vores OpenID bedste praksis offentliggøres for Apps Marketplace udviklere, der også gælder for signaturmodtagere i almindelighed.


Mayank Upadhyay arbejder på autentificering og identitet problemer på Google Security Team.
Hans tidligere erfaring omfatter lignende arbejde hos Sun Microsystems og forskellige virksomheder i WiFi sikkerhed rummet.

Indsendt af Scott Knaster, redaktør