El fallo se debe a un defecto en los sistemas de código abierto OAuth 2.0 y OpenID que permite que un atacante pueda engañar al usuario, hacerle creer que está accediendo a través de Facebook o Google y luego redirigirlo a un sitio web malicioso. A partir de ahí se podría exponer la información personal, su contactos, su lista de amigos y en el caso de Google Apps, lo datos almacenados.
Kevin O´Brien, director de marketing de CloudLock ha comentado que no se trata del próximo Heartbleed, pero si que es algo a lo que se debería prestar especial atención.
Facebook –explica Jodi Mardesich en un artículo publicado en ReadWrite– recomienda a los desarrolladores utilizar una “lista blanca” la cual cerraría de forma efectiva este agujero en OAuth limitando la redirección a URLs seguras. Pero la red de Facebook no solicita una lista blanca, por lo que muchos desarrolladores no la utilizan.
Cuando Wang informó del problema a esta red social, la compañía dijo que entendía los riesgos de OAuth 2.0, pero al no poder obligar a cada desarrollador de una aplicación a utilizar una lista blanca, la solución a este problema de vulnerabilidad no se podrá conseguir a corto plazo.
Mardesich concluye que este estudiante también informó de este problema de vulnerabilidad en Google, LinkedIn, Microsoft, Yahoo, PayPal, Weibo, Taobao, GitHub y QQ. Por lo que se recomienda tener mucho cuidado cuando un sitio o una app solicitan la conexión a través de Facebook, Twitter, Google o cualquier otro sitio que utilice OAuth 2.0.