Los protocolos como Oauth o OpenID nos simplifican la identificación en la red pero, a medida que crece su adopción y popularidad, se vuelve necesario implementar más medidas de seguridad. Ese es el mensaje que nos deja el hallazgo de una vulnerabilidad en estos mecanismos, que permite iniciar sesión sin la intervención del usuario, pudiendo afectar incluso a los servicios de grandes de la red, como Twitter, Google o Facebook.

Se trata de la conocida pero compleja técnica timing attack, implementada en este caso por los investigadores Nate Lawson y Taylor Nelson, que se basa en el tiempo demorado por un servidor para validar los tokens intercambiados. Como los errores son devueltos apenas se detecta un caracter incorrecto, un logueo inválido será más veloz que uno legítimo. Esto hace posible enviar distintas cadenas y determinar su validez gracias a la duración del proceso.

Aunque parece imposible gracias a los diversos parámetros que afectan el tiempo de respuesta de cualquier sitio, como el jitter, Lawson y Nelson aseguraron que pudieron ejecutar estos ataques en distintos entornos. Por ejemplo, de esta misma manera fue hackeada la Xbox 360.

¿Debe cundir el pánico? No. Los propietarios de las webs afectadas ya recibieron una notificación de este inconveniente, y ahora deberán modificar sus códigos para introducir un retardo cuando envían mensajes de error, así estos demoran tanto como las autenticaciones correctas.

Pero de todas formas, deja una enseñanza importante para otras plataformas que consisten en mecanismos similares, al igual que para todo servicio donde la protección de las contraseñas es un detalle crucial, como bancos o tarjetas de crédito.

Fuente:http://bitelia.com/2010/07/encuentran-vulnerabilidad-oauth-openid