Falha no “Attribute Exchange” do OpenID

fundação OpenID publicou um alerta para todos os sites usando OpenID que não confirmam que a informação passada através do “Attribute Exchange” – serviço para intercâmbio de informações de identidade entre dispositivos finais – estava sendo assinada. Aparentemente, quando a informação não é assinada, um atacante tem possibilidade de modificá-la. Isso em si não é um grande problema se o site usa o Attribute Exchange para receber somente informações de baixa segurança, mas pode ser um problema gigantesco se recebe informação que só deveria ser confiada pelo provedor de identidade.

“Felizmente, há uma correção para essa vulnerabilidade: “Para apps que estão vulneráveis, nós recomendamos modificar o código da aplicação para receber somente valores de atributo assinados, como um passo inicial. Nós confirmamos que apps usando OpenID4Java tendem a aceitar valores não-assinados. Por favor atualize para a versão mais recente dessa biblioteca (0.9.6 final) se você estiver usando essa ou qualquer outra biblioteca de dependência (como Step2). A Kay Framework também estava vulnerável, mas foi corrigida na versão 1.0.2. Outras bibliotecas podem ter o mesmo problema embora o uso padrão de serviços/bibliotecas do Janrain, Ping Identity e DotNetOpenAuth não estão suscetíveis a esse ataque.”

A boa notícia é o fato que os ataques explorando essa falha ainda não foram detectados até agora, e que muitos dos sites afetados já notificaram e implementaram as correções necessárias.

Via: OpenID Attribute Exchange flaw