Pada Jumat lalu, Wang Jing, seorang mahasiswa program PhD di Nanyang Technological University di Singapura, menerbitkan sebuah laporan yang memjabarkan tentang metode serangan yang disebut dengan Covert Redirect dan memperkenalkannya sebagai kerentanan atau vulnerable di OAuth 2.0 dan OpenID. Namun ini bukan pertama kalinya masalah mengenai ini diangkat dan ini tidak seburuk Heartbleed.
Cara kerja OAuth 2.0 dan OpenID sendiri adalah dengan memberikan akses bagi pengguna layanan ini untuk mendapatkan domain yang dapat mengakses menggunakan kredensial yang telah ada kepada website lain seperti Facebook, Google, Microsoft atau LinkedIn. Dengan akses yang didapatkan pengguna layanan ini dapat menghapus sebuah akun dan menggantinya dengan akun yang baru.
Selama bertahun-tahun, penggunaan dua layanan ini sudah cukup dikenal, karena dua layanan ini menungkinkan berbagai interaksi dan memberikan kemudahan bagi akses penggunanya. Fakta yang diungkapkan Jing menunjukan bahwa kecuali digunakan dengan benar, pengguna yang menggunakan OAuth 2.0 atau OpenID bisa jatuh dalam jebakan yang digunakan penyerang pada layanan tersebut.
Dalam sebuah pernyataan, Director of Product Marketing Cloudlock, Kevin OBrien, menjelaskan mengenai Covert Redirect,Covert Redirect adalah kerentanan yang memiliki kesamaan dengan cara kerja dengan serangan phising yaitu ketika pengguna memberikan OAuth pada penyedia pop-up, token OAuth sebenarnya yang dihasilkan tidak diberikan izin untuk layanan yang pengguna pikir adalah yang mereka gunakan melainkan untuk layanan pihak ketika yang dapat membahayakan.
OBrien menjelaskan bahwa Covert Redirect adalah masalah yang serius namun tidak memiliki dampak seburuk Heartbleed. Senada dengan OBrien, Vice President SilverSky Labs, Brandon Edwards, menjelaskan bahwa Covert Redirect memiliki dampak yang lebih kecil dibanding dengan Heartbleed, yang seperti diketahui dapat mengekspos informasi yang paling penting pada sebuah situs website.
Selain itu, walaupun pada awalnya ada laporan yang mengatakan bahwa Covert Redirect bukan menjadi permasalahan Facebook atau Google namun permasalahannya adalah kurangnya tanda yang memperbolehkan akses pada Oauth 2.0. Namun ada sebagian kalangan yang menyatakan bahwa Covert Redirect bukanlah sebuah vulnerability atau kerentanan, karena masalahnya bukan terletak pada OAuth framework, masalahnya terletak pada bagaimana framework diimplementasikan oleh pengembang.
Masalah ini bukan pertama kali dipublikasikan, tahun lalu Egor Homakov mempublikasikan masalah yang sama. Bahkan garis IETF pada OAuth 2.0 memperingatkan tentang risiko yang terkait dengan pengalihan terbuka di redirect_uri, dan LinkedIn mengeluarkan peringatan tentang mendaftarkan URI awal tahun ini.
Terlihat bahaya yang ditimbulkan oleh Covert Redirect sangat besar namun masalahnya tidak sebesar kelihatannya, karena sebagian besar situs website menggunakan OAut secara natural. Sehingga akses VPN, tidak terpengaruh dan juga tidak berdampak pada data keuangan atau data perbankan.
Cara kerja OAuth 2.0 dan OpenID sendiri adalah dengan memberikan akses bagi pengguna layanan ini untuk mendapatkan domain yang dapat mengakses menggunakan kredensial yang telah ada kepada website lain seperti Facebook, Google, Microsoft atau LinkedIn. Dengan akses yang didapatkan pengguna layanan ini dapat menghapus sebuah akun dan menggantinya dengan akun yang baru.
Selama bertahun-tahun, penggunaan dua layanan ini sudah cukup dikenal, karena dua layanan ini menungkinkan berbagai interaksi dan memberikan kemudahan bagi akses penggunanya. Fakta yang diungkapkan Jing menunjukan bahwa kecuali digunakan dengan benar, pengguna yang menggunakan OAuth 2.0 atau OpenID bisa jatuh dalam jebakan yang digunakan penyerang pada layanan tersebut.
Dalam sebuah pernyataan, Director of Product Marketing Cloudlock, Kevin OBrien, menjelaskan mengenai Covert Redirect,Covert Redirect adalah kerentanan yang memiliki kesamaan dengan cara kerja dengan serangan phising yaitu ketika pengguna memberikan OAuth pada penyedia pop-up, token OAuth sebenarnya yang dihasilkan tidak diberikan izin untuk layanan yang pengguna pikir adalah yang mereka gunakan melainkan untuk layanan pihak ketika yang dapat membahayakan.
OBrien menjelaskan bahwa Covert Redirect adalah masalah yang serius namun tidak memiliki dampak seburuk Heartbleed. Senada dengan OBrien, Vice President SilverSky Labs, Brandon Edwards, menjelaskan bahwa Covert Redirect memiliki dampak yang lebih kecil dibanding dengan Heartbleed, yang seperti diketahui dapat mengekspos informasi yang paling penting pada sebuah situs website.
Selain itu, walaupun pada awalnya ada laporan yang mengatakan bahwa Covert Redirect bukan menjadi permasalahan Facebook atau Google namun permasalahannya adalah kurangnya tanda yang memperbolehkan akses pada Oauth 2.0. Namun ada sebagian kalangan yang menyatakan bahwa Covert Redirect bukanlah sebuah vulnerability atau kerentanan, karena masalahnya bukan terletak pada OAuth framework, masalahnya terletak pada bagaimana framework diimplementasikan oleh pengembang.
Masalah ini bukan pertama kali dipublikasikan, tahun lalu Egor Homakov mempublikasikan masalah yang sama. Bahkan garis IETF pada OAuth 2.0 memperingatkan tentang risiko yang terkait dengan pengalihan terbuka di redirect_uri, dan LinkedIn mengeluarkan peringatan tentang mendaftarkan URI awal tahun ini.
Terlihat bahaya yang ditimbulkan oleh Covert Redirect sangat besar namun masalahnya tidak sebesar kelihatannya, karena sebagian besar situs website menggunakan OAut secara natural. Sehingga akses VPN, tidak terpengaruh dan juga tidak berdampak pada data keuangan atau data perbankan.