A OpenID Foundation divulgou na última semana um boletim de alerta de segurança de um bug sério que deixa o mecanismo de autenticação – usado por sites para compartilhar credenciais de identidade de usuários – aberto a ataques. Em especial, algumas implementações de troca de atributo não verificam que a informação passada pelo AX foi assinada.

De acordo com o OpenID “se o site só usar o AX para receber informação de baixa segurança, como a autoafirmação do usuário, não há problema. Entretanto, se o site usa a assinatura para receber informação e só confia no provedor de identidade para afirma-la, então ele cria o potencial para um ataque”.

Segundo a OpenID Foundantion, não foi percebido nenhum ataque que explorasse essa falha. Mas há a ameaça de que um invasor possa usá-la para modificar a informação passada entre as partes e personificar um usuário.
A organização sugere, como passo inicial, que a correção para aplicativos vulneráveis é modificar o código para aceitar apenas os valores de atributo assinados.

Segundo a empresa, os principais sites impactados já foram contatados e já implantaram a correção; eles se recusaram a divulgar quais sites seriam esses. Ela também disse que os membros do conselho da organização têm trabalhado para identificar outros sites que foram impactados para que possam implantar correções.

O aplicativo com base OpenID mais vulnerável é o OpenIDJava. Para atenuar a vulnerabilidade, a empresa recomenda atualizar esse aplicativo ou qualquer library idenpendente para a versão mais recente do OpenID4Java (0.9.6 final). Enquanto isso, o Kay Framework, que era vulnerável, foi corrigido pela versão 1.0.2. Segundo o boletim de segurança,“outras libraries podem ter o mesmo problema apesar do padrão de uso de serviços/ libraries da Janrain, Ping Identity e DotNetOpenAuth não serem suscetíveis a esse ataque”.

Essencialmente uma forma única de assinatura para a nuvem, a OpenID tem sido adotada em inúmeros sites e empresas, incluindo o Google, Facebook, Flickr, Microsoft, WordPress, Yahoo e Zappos. Em dezembro de 2009, a empresa relatou que havia nove milhões de sites usando o OpenID para permitir registro de usuários e efetuar login em pelo menos uma parte do site. Inúmeras agências do governo também apoiam o OpenID.

No ano passado, o Google propôs a proteção dos dados de conta em sites que se apoiam em credenciais de usuários por meio de um processo conhecido como PseudoID . O sistema – que é retrocompatível com o OpenID – impediria que os invasores ligassem um conjunto de credenciais de assinaturas roubadas de volta para uma conta de usuário em sites de consulta.

Fonte: ITWEB