Een kwetsbaarheid in de authenticatiesoftware die miljoenen internetgebruikers op de websites van Google, Facebook, LinkedIn, PayPal, Microsoft en andere partijen gebruiken zorgt ervoor dat cybercriminelen zeer overtuigende phishingaanvallen kunnen uitvoeren en zo informatie kunnen stelen.

Het lek bevindt zich in de authenticatietechnologie OAuth 2.0 en OpenID en werd door Wang Jing ontdekt, een student aan de Technische Universiteit van Nanyang in Singapore. OAuth en OpenID zorgen ervoor dat gebruikers van een bepaalde website een derde partij toestemming kunnen geven om hun data te benaderen, zonder dat er met deze partijen de inloggegevens worden gedeeld.

Jing ontdekte een "Covert Redirect" in de technologie, zoals het probleem wordt genoemd, die ervoor zorgt dat een aanvaller het "token" van de gebruiker kan stelen. Dit token maakt het vervolgens mogelijk om informatie over de gebruiker op te vragen. Afhankelijk van de rechten van het token zou het zelfs mogelijk zijn om, bijvoorbeeld in het geval van Facebook, een account over te nemen.

De aanvaller richt zich hierbij op de vertrouwensrelatie tussen deze derde partij en bijvoorbeeld Facebook. Door gebruik te maken van het Cover Redirect-lek is het mogelijk om op de aangevallen website een pop-up te tonen die van een third-party app afkomstig lijkt, maar wel van het Facebook-domein gebruik maakt. Zodra de gebruiker de app echter toestemming geeft worden zijn gegevens naar de aanvaller gestuurd.

Volgens de student is het niet eenvoudig om het probleem te patchen. "Als alle third-party applicaties zich aan het gebruik van een whitelist zouden houden, zou er geen ruimte voor aanvallen zijn. Een groot aantal third-party applicaties doet dit echter niet, wat op OAuth 2.0 of OpenID-gebaseerde systemen zeer kwetsbaar maakt", aldus Jing.