Уязвимост в киберсигурността, открита при прилагането на функционалността за влизане в социалната мрежа, дава възможност за превземане на акаунти и др.
Уязвимост в прилагането на стандарта Open Authorization (OAuth), който уебсайтовете и приложенията използват за свързване с Facebook, Google, Apple, Twitter и др., може да позволи на нападателите да превземат потребителски акаунти, да получат достъп до чувствителна информация и/или да я изнесат и дори да извършат финансови измами.
OAuth влиза в действие, когато потребителят влезе в даден уебсайт и кликне върху връзка за влизане с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“ – функция, която много сайтове използват, за да позволят удостоверяване между платформите. Екип от лабораторията Salt Labs на фирмата Salt Security, специализирана в областта на сигурността на API, е открил дефекта, проследен като CVE-2023-28131, в имплементацията на OAuth в Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база.
По-конкретно, недостатъкът потенциално може да засегне всички потребители, които използват различни и акаунти в социални медии, за да се логнат в онлайн услуга, която използва рамката, разкриха изследователите в публикация в блога, публикувана на 24 май.
Уязвимостта е втората – и с по-голямо въздействие – която изследователите на Salt откриват в прилагането на OAuth от онлайн платформа, което се оказва труден стандарт за сигурно прилагане. През март Salt откри недостатък в прилагането на OAuth от Booking.com, който можеше да позволи на нападателите да превземат потребителски акаунти и да получат пълна видимост към техните лични данни или данни за платежни карти, както и да влязат в акаунти в сестринската платформа на уебсайта Kayak.com.
Недостатъкът в Expo може да има много по-широко въздействие, отколкото този в Booking.com, поради широката инсталационна база на Expo, казва пред Dark Reading Авиад Кармел, изследовател по сигурността на Salt.
„Тъй като тази втора уязвимост на OAuth беше открита в рамка на трета страна, използвана от стотици компании, потенциалната експозиция беше много по-голяма“, казва той. „Тя можеше да повлияе на имплементациите на OAuth на стотици уебсайтове и приложения.“
Освен това OAuth се превръща в де факто стандарт за удостоверяване в съвременните архитектури, базирани на услуги, както и в нововъзникващите платформи, базирани на изкуствен интелект (ИИ). Това по своята същност означава, че всякакви уязвимости в реализациите на OAuth имат широк обхват. Всъщност в друго изследване, представено на 24 май, фирмата за сигурност DoControl разкри, че 24% от приложенията за изкуствен интелект на трети страни изискват рискови разрешения за OAuth.
Expo закърпи CVE-2023-28131 в рамките на няколко часа, след като изследователите на Salt сигнализираха за проблема, а разработчиците, поддържащи платформата, препоръчаха в публикация в блога, в която подробно се описва недостатъкът, клиентите да актуализират своите внедрявания на Expo, за да намалят напълно риска.
Въпреки това нарастващият списък с уязвимости на OAuth и цялостната сложност на правилното конфигуриране на стандарта, които те подчертават, предполагат, че под повърхността на повече уебсайтове и приложения може да се крият неоткрити недостатъци.
Констатациите също така показват как предприятията са неблагоприятно и широко засегнати, когато рамки на трети страни въвеждат уязвимости в API в тяхната среда, често без да знаят. Това излага клиентите на риск от изтичане на удостоверения или превземане на акаунти и дава на бандите платформа, от която да извършват по-нататъшни атаки, казват изследователите.
Когато потребителят щракне върху връзка, активирана от OAuth, за да влезе в сайт А с акаунт в социална медия, сайтът А ще отвори нов прозорец към Facebook, Google или какъвто и да е доверен акаунт, който се използва. Ако потребителят посещава за пръв път Сайт А, страницата на социалната медия ще поиска разрешение за споделяне на данни със Сайт А. Ако потребителят е преминавал през този процес преди, страницата на социалната медия автоматично ще удостовери автентичността на потребителя в Сайт А.
Изследователите от Salt Labs откриха CVE-2023-28131 в Codeacademy.com, онлайн платформа, която предлага безплатни класове по кодиране на дузина езици за програмиране. Компании, сред които Google, LinkedIn, Amazon, Spotify и други, използват сайта, за да подпомагат обучението на служители, а сайтът има около 100 милиона потребители. Изследователите в крайна сметка са използвали недостатъка, за да получат пълен контрол над акаунтите в Codeacademy.com, казват те.
Уязвимостта в имплементацията на OAuth в рамките на Expo е свързана с процеса на социално вписване, казва Кармел пред Dark Reading. „Когато потребителите влизат в системата, използвайки своите идентификационни данни от Facebook или Google, Expo действа като посредник и прехвърля идентификационните данни на потребителя към целевия уебсайт“, казва той.
Атакуващите биха могли да използват CVE-2023-28131, като прихванат този поток и манипулират Expo да изпрати потребителските пълномощия към злонамерен домейн вместо към предвидената дестинация, обяснява Carmel.
Тази експлоатация би могла да доведе до изтичане на лични данни или дори до финансова измама, ако нападателите са използвали пълномощията, за да влязат във финансовите сметки на потребителите. Освен това участниците в заплахите потенциално биха могли да извършат действия от името на потребителите в техните акаунти в социалните мрежи, казва Кармел.
Популярността на OAuth се дължи на това, че може да осигури много по-безпроблемно потребителско изживяване за хората, когато взаимодействат с често използвани уебсайтове. Той обаче има сложна техническа основа, която може да доведе до грешки при прилагането му, създавайки пропуски в сигурността, които са готови за използване, казват изследователите.
Следователно, за да защити внедряването на OAuth, организацията трябва да разбере как функционира OAuth и кои крайни точки могат да получават потребителски входни данни, казва Кармел.
„Атакуващите могат да се опитат да манипулират тези входове, така че валидирането на всеки от тях е от съществено значение“, съветва той. „Това може да се постигне чрез поддържане на бял списък с предварително определени стойности или чрез прилагане на други строги методи за валидиране.“
Поради това колко сложни се оказват внедряванията на OAuth, Salt Security планира в бъдеще да издаде ръководство за най-добри практики, за да помогне на предприятията да защитят ефективно своите внедрявания на OAuth, добавя Кармел.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
