Se ha descubierto una vulnerabilidad en los sistemas de identificación Oauth y OpenId que permitiría iniciar sesión sin la intervención del usuario.
La técnica empleada para explotar la vulnerabilidad es conocida como Timing Attack, un tipo de ataque que intenta comprometer el sistema afectado mediante el análisis del tiempo que tarda la ejecución de algoritmos criptográficos. Cada operación lógica lleva asociada un tiempo de ejecución, que puede diferir en función de la entrada; con medidas precisas del tiempo para cada operación, un atacante puede trabajar "por detrás" de la entrada.
Los responsables de las webs afectadas ya recibieron una notificación al respecto informándoles del problema e instándoles a solucionarlo modificando su código para que introduzcan un retardo.
Vía: The Next Web
Autor: Jorge Autor