Egy, a Microsoft szakértőjével megerősített, számítógéptudósokból álló csapat szerint nagyon sok olyan szolgáltatás tartalmaz szoftveres hibákat, melyek működéséhez szükséges az azonosítóval/jelszóval történő bejelentkezés, és ezek a hibák lehetővé teszik, hogy harmadik felek hozzáférjenek a felhasználók fiókjaihoz.

Az eredményeiket részletesen a májusban tartandó biztonsági konferencián (IEEE Symposium on Security and Privacy) bemutatni szándékozó kutatók 10 hónapig tanulmányoztak több SSO-szolgáltatást (single-sign-on: egyszeri belépés szükséges a hozzáféréshez), és azt találták, hogy az olyan azonosítás-szolgáltatók megoldásait mint a Google, a Facebook vagy a PayPal nem megfelelően integrálják olyan weboldalakba, ahol használják ezeket. A kutatás azt mutatta meg, hogy az ismert szolgáltatók SSO-rendszerei több olyan logikai hibát is tartalmaznak, melyek lehetővé teszik az illetéktelen hozzáférést. Xiao Feng Wang, az Indianai Egyetem informatikai tanszékének docense, a kutatás vezetője arról számolt be az ars technica megkeresésére, hogy sok, általuk felfedezett hibát már javítottak azóta a szolgáltatók, de ők úgy vélik, hogy ez a technológia a komplexitása és a túl sok érintett miatt „hajlamos a hibákra”.

A hibák fő forrása a rendszer működésének logikájában kereshető a kutatók szerint: a weboldalon található loginfelületen bejelentkezik az adott szolgáltatásba a felhasználó, az SSO-szolgáltató ellenőrzi az adatok helyességét, ha érvényesnek találja őket, akkor utasításokat (tokeneket) ad a harmadik fél weboldalának, hogy engedje a felhasználót a kívánt fiókba. A gond ezzel a rendszerrel az, hogy a weboldalakon megadott adatokat először a felhasználó böngészőjébe küldik el, és itt tud beavatkozni egy illetéktelen fél az adatáramlásba.

Ha hiba van a szoftverben, akkor meg lehet szerezni a felhasználó azonosítóját és jelszavát: pontosan ilyen kritikus hibát találtak a Google SSO-rendszerében, amikor egy támadó képes volt a megbízható partnertől (relying party – RP) érkező lekérdezésekhez hozzáférni, mielőtt a felhasználó böngészője elküldte volna azt a Google-nak. Hasonlóan súlyos hiányosságokat találtak az OpenID szabványban is, melyet több mint egymilliárd fióknál alkalmaznak. A hibák egyrészt az SSO-szolgáltatók elégtelen tesztjeiből, másrészt abból eredtek, hogy a harmadik felek helytelenül implementálták a biztonságos SSO-kat.

A gondok egyike az, hogy nagyon sok a változó, nagyon sokféle környezetben alkalmazzák ugyanazokat a megoldásokat, és nincsenek jól specifikált protokollok, hogy az adott megoldások mindenütt biztonságosan működjenek. Példaként a docens azt is felhozta, hogy ha tovább növekszik a rendszer bonyolultsága, még nagyobb a hiba lehetősége: például a Facebooknál egy már jelzett és javított hiba esetében az Adobe Flash okozta az SSO biztonsági rendszerének megbénulását.