하트블리드 이어 ‘오픈ID’와 ‘오쓰 (OAuth)’서도 심각한 보안 결함

covert_redirect_logo_tetraph


‘하트블리드(Heartbleed)’ 버그에 이어 가입자 인증 및 보안용 오픈소스 SW인 ‘오픈ID’와‘오쓰(OAuth)’에도 심각한 결함이 발견됐다고 씨넷, 벤처비트 등 매체들이 보도했다.

 

싱 가폴난양대학교에 재학중인 ‘왕 징(Wang Jing)’ 박사는 수 많은 웹사이트와 구글, 페이스북, 링크드인, MS, 페이팔 등에서 사용하고 있는 로그인 툴인 ‘OAuth’와‘오픈ID’에 치명적인 결함이 발견됐다고 밝혔다. ‘코버트리디렉트(Covert Redirect)’라고 일컬어지는 이 결함은 감염된 도메인의 로그인 팝업을 통해 해킹이 이뤄진다.

 

가 령 인터넷 사용자들이 악의적인 피싱 사이트를 클릭하면 가입자 인증을 위해 페이스북 팝업 윈도가 뜨는데 가입자를 속이 기위해 가짜 도메인 이름을 사용하는 것이 아니라 진짜 사이트의 도메인을 활용한다고 한다. 만일 가입자가 로그인을 하면 합법적인 사이트가 아니라 피싱사이트로 e메일 주소, 생일, 연락처 등 개인 정보들이 흘러들어간다.

 

왕 은 페이스북 등 업체에 이 같은 결함을 알렸으며 페이스북은 결함이 OAuth 2.0가 연관된 것으로 인식하고 있지만 짧은 시간내 해결될 수는 없을 것이란 답을 얻은 것으로 알려졌다. 왕은 이번 결함이 구글, 링크드인, 마이크로소프트, 페이스북, 페이팔 등 다수의 오픈ID와 OAuth를 활용하는 기업들이 영향을 받을 것으로 예상했다.

 

왕 은 “제3의 애플리케이션 개발자들이 화이트리스트를 엄격하게 적용하면 해커 공격의 빌미를 제공하지 않을 것”이라고 말했다. 하지만 “실제로 많은 애플리케이션 개발자들이 여러가지 이유로 이런 조치를 취하지않고 있다는 게 OAuth 2.0과 오픈ID의 결함 문제를 심각하게 만들고 있다”고 덧붙였다.

 

 



 

M-E-M-O-R-I-E-S – In Memory of Youth – 雨梦 & 雨韵

In Memory of Youth     –     雨梦&雨韵

题记——假期归乡,秋风送雨梦,醉于雨韵,日重复着雨的幽魂,夜夜跌宕着凤的乾坤,暑期的静音,醉己复醉人,愿化为碧谭一波,融为秋水一泓!

 

9c9010c06a23826cdc58b5f42f075f13e12d5197

春天里,你像牛毛,像花针,像细丝,演绎着梦的传奇!
夏天里,你激情澎湃,豪迈奔放,如九天银河,飞天瀑布!
秋天里,你缠缠绵绵,诉说着高山流水,环佩妙曲!
冬天里,你银装素裹,曼妙如花!


读你,
听你,
赏你,
嗅你……
美不胜收。

 

碧野和蓝天相恋,你作青鸟引线?
河流和湖泊想见,你为红丝引见?

 

你是大海的眼泪,
碧野的笑靥,
正如爱情是感情大海的眼泪,
萌动碧野的笑靥!
你不语,只是默默诉说……

 

不知你是否愿意携着诗的羽毛,结巢于我的梦境,在我的记忆上留下淡淡的吟唱?

 

 

 

作者:
王晶 (justqdjing)
作于 中国科学技术大学
http://www.tetraph.com/wangjing/