Vulnerabilidad descubierta en Tuenti.com

Iniciado por kub0x, 4 Diciembre 2014, 03:48 AM

0 Miembros y 1 Visitante están viendo este tema.

kub0x

Muy buenas,

hoy me encontraba auditando la seguridad en Tuenti, especialmente en la gestión de Cookies por parte de este servicio. Como todos sabemos Tuenti ofrece cifrado por TLS por lo que el tráfico generado por el usuario es díficil de descifrar por un atacante sin recurrir a la ingeniería social.

Las Cookies funcionan de manera distinta ya que sin la secure-flag estás pueden ser transmitidas en peticiones HTTP a URLs del mismo servicio. Este es el caso de Tuenti pues no marca sus cookies con la secure-flag además de realizar peticiones HTTP a URLs de su mismo servicio por lo que esto deriva en que las cookies pueden ser capturadas en texto plano al interceptar dichas peticiones HTTP. Resumiendo, ellos implementan SSL/TLS (HTTPS) pero no han tenido en cuenta que si sus cookies no están securizadas pueden revelar la sesión del usuario permitiendo a un atacante ejecutar una suplantación de sesión lo que le permitiría el acceso total a la cuenta intervenida.

Tuenti ya ha sido avisado del bug y ando esperando respuesta por su parte. Les he dejado la solución al problema así que esperemos que lo solucionen lo antes posible.

Aquí os dejo una PoC del tema en cuestión. Doy por supuesto que teneís nociones básicas sobre ataques MITM (ARP Spoofing). Podríamos también obligar al usuario a visitar un enlace legítimo de Tuenti en HTTP (mediante DNS spoof) para que incluya las cookies de sesión del usuario comprometido.

[youtube=640,360]https://www.youtube.com/watch?v=a8_B8DDDYWc[/youtube]

Para protegernos podemos seguir los siguientes pasos:

- Tuenti debería de marcar sus cookies con la secure-flag para forzar su inclusión solo en tráfico cifrado (muerto el perro se acabó la rabia).
- No utilizar cookies persistentes cuya sesión no expire. El atacante tendría acceso permanente a la cuenta del usuario.
- Cerrar la sesión de Tuenti al terminar de usar el servicio. Tened en cuenta que el atacante y la víctima comparten la misma cookie de sesión, si uno de los dos cierra la sesión ambos se quedarían sin servicio.
- No utilizar redes Wi-Fi inseguras para conectarse a Tuenti o bien utilizar alternativas como VPN en dichos entornos.

No he auditado la app del movil, sin embargo, puede que sufran del mismo problema por lo que estad al loro. Os lo haré saber cuando tenga una respuesta por parte de su equipo.

Saludos.
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate