Foto: Thinkstock
Het probleem treft de opensourcesoftware OAuth en OpenID, stelt de Singaporese onderzoeker Wang Jing tegenover Cnet.
De bug maakt het voor aanvallers mogelijk om een popup-bericht van populaire sites na te maken. Bij het klikken op een link is het bijvoorbeeld mogelijk om een nep-inlogscherm van Facebook te tonen, waarmee apps aan het sociale netwerk gekoppeld zouden kunnen worden.
In de browserbalk staat dan ook daadwerkelijk het webadres van Facebook, maar bij het verzenden van gegevens worden deze naar de aanvaller gestuurd, in plaats van naar het sociale netwerk. Ook kan de gebruiker worden doorgestuurd naar een webpagina van de hacker.
Vanuit phishing-e-mails worden mensen nu vaak ook al doorgestuurd naar nepversies van populaire sites, maar in de adresbalk van de browser is dan normaal gesproken te zien dat de gebruiker zich eigenlijk op een andere site bevindt.
Reacties
Het lijkt niet makkelijk om de bug op te lossen, omdat dan het risico ontstaat dat apps die niet kwaadaardig zijn ook worden geblokkeerd. Vertrouwde apps zouden allemaal op een ‘witte lijst’ moeten komen.
Volgens Wang zegt Facebook dan ook dat het probleem niet op de korte termijn zal worden verholpen. Wel zeggen Facebook, Google, Microsoft en Linkedin de kwetsbaarheid in de gaten te houden.
Gebruikers die niet via popup-vensters inloggen op sociale netwerken, lopen geen gevaar door het lek.
De bug volgt op het serieuzere Heartbleed-lek, dat ook veel grote websites trof via de beveiligingssoftware OpenSSL. Door dat lek kwamen veel meer gegevens in gevaar en werden internetgebruikers aangeraden hun wachtwoorden te veranderen.
Heartbleed: dit moet u weten over het ‘grootste internetlek ooit’