В сервисе аутентификации Mozilla Persona выявлены проблемы с безопасностью

02.10.2013 22:26

В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID для подтверждения валидности пользователя. Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID.

Причина уязвимости кроется в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых поддерживается подтверждение по данному протоколу (на данным момент только Gmail и Yahoo Mail). В частности, для проверки корректности привязки email к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись охватывает поле с email, но упускается, что допустимо указание произвольных полей для проверки по цифровой подписи.

Таким образом, атакующий может сформировать для OpenID цифровую подпись, не охватывающую email, после чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие наличие поля с email в числе охватываемых цифровой подписью полей, будут считать запрос с фиктивным email прошедшим верификацию.

Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное поле "openid.foo.value.email: victim@gmail.com". Несмотря на то, что цифровая подпись будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: example@gmail.com", многие OpenID-библиотеки извлекут email из поля, указанного первым, несмотря на то, что оно не охватывается цифровой подписью.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38061-persona

Ключевые слова: persona, auth, openid

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.1, aes.ultimum (ok), 23:38, 02/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Неплохо.

2.14, AnonuS (?), 02:59, 04/10/2013 [^] [^^] [^^^] [ответить]	+/–
Элегантно, даже.

1.2, someone (??), 00:16, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в сервисах и либах.

2.3, Аноним (-), 00:41, 03/10/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email Это точно проблема кривых валидаторов?

2.15, AnonuS (?), 03:00, 04/10/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в > сервисах и либах. А кого это по большому счёту чешет ? Мозилка сервис свой не обезопасила как следует, ну, теперь-то у них глаза откроются, придумают чего-нибудь.

1.4, ILYA INDIGO (ok), 00:50, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет их менять, или подсунет тему с рекламой :)) ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной темой, по крайней мере у меня с qtcurve, эту перделку, не то что можно, а нужно давно было выкинуть!

2.5, TDYK (ok), 01:14, 03/10/2013 [^] [^^] [^^^] [ответить]	+2 +/–
А при чём тут темы? Речь об авторизации на сайтах же.

3.7, ILYA INDIGO (ok), 01:25, 03/10/2013 [^] [^^] [^^^] [ответить]	+/–
http://en.wikipedia.org/wiki/Firefox_Background_Themes А этот костыль называется Personas. При этом я помню, что там нужно было создавать аккаунт и авторизироваться и я подумал что это про него. Тогда беру свои слова про серьёзность уязвимости назад.

3.9, Аноним (-), 07:41, 03/10/2013 [^] [^^] [^^^] [ответить]	+/–
Дети Индиго... они такие

2.6, Алексей (??), 01:21, 03/10/2013 [^] [^^] [^^^] [ответить]	+5 +/–
Бывшие «Personas» теперь называются «темами», а «Persona» — это бывший «BrowserID».

3.8, ILYA INDIGO (ok), 01:26, 03/10/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Бывшие «Personas» теперь называются «темами», а «Persona» > — это бывший «BrowserID». Спасибо, не знал.

4.10, Аноним (-), 11:12, 03/10/2013 [^] [^^] [^^^] [ответить]	–6 +/–
Лох!

5.13, Аноним (-), 13:32, 03/10/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Это судьба

2.16, AnonuS (?), 03:05, 04/10/2013 [^] [^^] [^^^] [ответить]

+/–

> Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет
> их менять, или подсунет тему с рекламой :))
> ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной
> темой, по крайней мере у меня с qtcurve, эту перделку, не
> то что можно, а нужно давно было выкинуть!

Илюха, ты блин такой жуткий экстремист: "перделку", "выкинуть!"

Напиши им письмо, мол так и так, я Илюха с Опеннета, требую немедленно все "перделки" выкинуть, ибо не согласен я. О результатах потом нам поведаешь. А вдруг они и в самом деле пойдут тебе на встречу и таки повыкинут их.

1.11, rshadow (ok), 13:12, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
мда, студенческая поделка, сразу видно

1.12, Аноним (-), 13:30, 03/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Нормальный человек, если попадет в сервис с чужого аккаунта, сразу перелогинится

игнорирование участников | лог модерирования

Добавить комментарий

Текст: