En stor ny sårbarhet har upptäckts i säkerhetsprotokoll OAuth 2.0 och OpenID medan internet fortfarande rullas från Heartbleed buggen.

Ph.D-student Wang Jing från Nanyang Technological University i Singapore upptäckte ett fel som tillåter hackare att använda phishing-tekniker i ett försök att stjäla inloggningsuppgifter utan att användarna vet.

Läs mer: FlashVPN Gratis VPN-proxy

Felet tillåter i huvudsak cyberkriminella att använda äkta webbplatsautentisering för att driva en phishing-popup, i stället för den vanligare taktiken att faking domänen. I processen kommer hackare att få användarens inloggningsuppgifter.

Sårbarheten påverkar många stora webbplatser, inklusive Facebook, Google, Yahoo, LinkedIn, PayPal och Microsoft.

Felspårning

Facebook avfärdade hotet när han kontaktades av Wang, vilket tyder på att det skulle vara omöjligt att ansluta hålet på kort sikt. Andra företag som Google och Microsoft är antingen spårning av felet eller har redan avslutat undersökningar.

En lösning skulle innebära att du använder en vitlista för alla applikationer på en webbplats, men detta skulle påverka användarupplevelsen negativt. Innan detta är löst, rekommenderas användarna att vara försiktig med att ange inloggningsuppgifter i popup-fönster som efterfrågas av applikationer.

Sårbarheten kommer i kölvattnet av Heartbleed-buggen, sett av många som det värsta säkerhetshotet för att möta internet. De flesta bästa webbplatser har redan patchat det, men nu måste de oroa sig för en annan säkerhetshuvudvärk.

Via CNET

  • Heartbleed: 5 saker du behöver veta