Eine weitere gravierende Schwachstelle wurde in den Sicherheitsprotokollen OAuth 2.0 und OpenID gefunden.
Ph.D. Student Wang Jing der Nanyang Technological University in Singapore deckte einen Fehler auf, der es Hackern etlaubt phishing Techniken anzuwenden, um Login Informationen von Anwendern ohne ihr Wissen zu erhalten.
Der Fehler erlaubt es den Internetkriminellen reale Webseiten-Authentifizierungen zu verwenden um ein Phishing Fenster zu erzeugen, ohne die Domain fälschen zu müssen. In diesem Prozess bekommen die Hacker die Login Daten des Anwenders.
Diese Schwachstelle beeinflusst viele wichtige Webseiten, wie z.B. Facebook, Google, Yahoo, LinkedIn, PayPal und Microsoft.
Facebook meinte hierzu lapidar, daß der Fehler unmöglich in Kürze behoben werden kann. Andere Firmen wie Google und Microsoft verfolgen den Fehler bzw. haben Nachforschungen eingeleitet.
Eine Notlösung wäre es, eine Positivliste für alle Anwendungen einer Webseite zu erzeugen, jedoch würde dies das Nutzungserlebnis beeinträchtigen.
Bis dies behoben ist, sollten die Anwender sehr vorsichtig sein, ihre Login Daten in Popup Fenster einzugeben, welche durch Anwendungen abgefragt werden.