Kwaadwillenden konden accounts kraken als ingelogd kon worden via Google en Facebook. De implementatie van die 'single sign on'-logins bleek vaak gebrekkig, waardoor het token dat Google en Facebook sturen onderschept kon worden.
Ook kon de accountinformatie van de gebruiker worden bewerkt als die naar servers van Google en Facebook wordt verstuurd, schrijft Ars Technica op basis van onderzoek van enkele wetenschappers van de Amerikaanse University van Indiana en Microsoft Research.
De kwetsbaarheden die de onderzoekers hebben gevonden, zijn allemaal gerepareerd, zo schrijven de onderzoekers in hun paper. Dat betekent niet dat deze Single Sign On-loginprocedures nu veilig zijn, waarschuwen de onderzoekers. "Wij geloven dat gezien onze onderzoeksresultaten andere webdiensten met Single Sign On-procedures ook kwetsbaar kunnen zijn." De kwetsbaarheden werden niet alleen gevonden bij diensten, waarop gebruikers kunnen inloggen via Google of Facebook, maar ook bij OpenID.
Vanwege die gebrekkige implementatie, konden kwaadwillenden het token onderscheppen waaruit de dienst kan opmaken dat de gebruiker de juiste gebruikersnaam met wachtwoord heeft ingevoerd voor Google of Facebook. Daardoor had een kwaadwillende toegang tot het account van een gebruiker zonder een gebruikersnaam of wachtwoord in te hoeven vullen.
De kwetsbaarheden zaten zowel bij de implementatie van de logins op websites van derden als bij Google, Facebook en OpenID. Ook bleken bepaalde browsertechnieken de kwetsbaarheid te verhogen. Goede implementaties van Single Sign On bleken bijvoorbeeld onveilig te worden als ze werden uitgevoerd in Adobe Flash, aldus de onderzoekers.
Single Sign On stelt gebruikers in staat bij een dienst in te loggen met de gebruikersnaam en het wachtwoord van een andere dienst, bijvoorbeeld Gmail of Facebook. Dat verloopt via een api, die regelt dat de dienst aan Google of Facebook vraagt of de 'credentials' juist zijn, waarna de gebruiker een token ontvangt dat wordt gebruikt om in te loggen. Veel sites werken met deze Single Sign On-procedure.
Bron: Tweakers.net