Há uma nova vulnerabilidade para ser explorada pelos bandidos digitais: ela está numa ferramenta utilizada por alguns dos gigantes da internet para login – entre eles Google, Facebook e Linkedin. Chamada de “Covert Redirect”, ela foi descoberta por Wang Jing estudante de doutorado em matemática da Nanyang University em Cingapura. O truque é assim: ao clicar em algum link de um site que você acaba de conhecer abre-se uma janela pop-up pedindo que você faça login pelo Facebook, por exemplo (mas pode ser pelo Liknedin ou pelo Google e vários outros sites grandes). E nesse caso você não vai descobrir o truque, porque o link utilizado é o verdadeiro (daque site onde você quer entrar) – mas os seus dados irão para outro lugar e não haverá autenticação nenhuma.
A falha está em duas aplicações do gênero open source – o OpenID e o OAuth. Wang diz que já entrou em contato com o Facebook e foi informado de que “a empresa entende os riscos associados ao OAuth 2.0” e que “conserta a falha não é uma coisa que se faça em pouco tempo”. O pesquisador também fez contatos com o Google e com a Microsoft. A lista dos principais sites afetados é a seguinte:
- PayPal
- Yahoo
- Microsoft
- PayPal
- GitHub