Търсене
Close this search box.

Уязвимост в киберсигурността, открита при прилагането на функционалността за влизане в социалната мрежа, дава възможност за превземане на акаунти и др.

Уязвимост в прилагането на стандарта Open Authorization (OAuth), който уебсайтовете и приложенията използват за свързване с Facebook, Google, Apple, Twitter и др., може да позволи на нападателите да превземат потребителски акаунти, да получат достъп до чувствителна информация и/или да я изнесат и дори да извършат финансови измами.

OAuth влиза в действие, когато потребителят влезе в даден уебсайт и кликне върху връзка за влизане с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“ – функция, която много сайтове използват, за да позволят удостоверяване между платформите. Екип от лабораторията Salt Labs на фирмата Salt Security, специализирана в областта на сигурността на API, е открил дефекта, проследен като CVE-2023-28131, в имплементацията на OAuth в Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база.

По-конкретно, недостатъкът потенциално може да засегне всички потребители, които използват различни и акаунти в социални медии, за да се логнат в онлайн услуга, която използва рамката, разкриха изследователите в публикация в блога, публикувана на 24 май.

Уязвимостта е втората – и с по-голямо въздействие – която изследователите на Salt откриват в прилагането на OAuth от онлайн платформа, което се оказва труден стандарт за сигурно прилагане. През март Salt откри недостатък в прилагането на OAuth от Booking.com, който можеше да позволи на нападателите да превземат потребителски акаунти и да получат пълна видимост към техните лични данни или данни за платежни карти, както и да влязат в акаунти в сестринската платформа на уебсайта Kayak.com.

Риск за трети страни при внедряването на OAuth

Недостатъкът в Expo може да има много по-широко въздействие, отколкото този в Booking.com, поради широката инсталационна база на Expo, казва пред Dark Reading Авиад Кармел, изследовател по сигурността на Salt.

„Тъй като тази втора уязвимост на OAuth беше открита в рамка на трета страна, използвана от стотици компании, потенциалната експозиция беше много по-голяма“, казва той. „Тя можеше да повлияе на имплементациите на OAuth на стотици уебсайтове и приложения.“

Освен това OAuth се превръща в де факто стандарт за удостоверяване в съвременните архитектури, базирани на услуги, както и в нововъзникващите платформи, базирани на изкуствен интелект (ИИ). Това по своята същност означава, че всякакви уязвимости в реализациите на OAuth имат широк обхват. Всъщност в друго изследване, представено на 24 май, фирмата за сигурност DoControl разкри, че 24% от приложенията за изкуствен интелект на трети страни изискват рискови разрешения за OAuth.

Expo закърпи CVE-2023-28131 в рамките на няколко часа, след като изследователите на Salt сигнализираха за проблема, а разработчиците, поддържащи платформата, препоръчаха в публикация в блога, в която подробно се описва недостатъкът, клиентите да актуализират своите внедрявания на Expo, за да намалят напълно риска.

Въпреки това нарастващият списък с уязвимости на OAuth и цялостната сложност на правилното конфигуриране на стандарта, които те подчертават, предполагат, че под повърхността на повече уебсайтове и приложения може да се крият неоткрити недостатъци.

Констатациите също така показват как предприятията са неблагоприятно и широко засегнати, когато рамки на трети страни въвеждат уязвимости в API в тяхната среда, често без да знаят. Това излага клиентите на риск от изтичане на удостоверения или превземане на акаунти и дава на бандите платформа, от която да извършват по-нататъшни атаки, казват изследователите.

Използване на недостатъка на Expo

Когато потребителят щракне върху връзка, активирана от OAuth, за да влезе в сайт А с акаунт в социална медия, сайтът А ще отвори нов прозорец към Facebook, Google или какъвто и да е доверен акаунт, който се използва. Ако потребителят посещава за пръв път Сайт А, страницата на социалната медия ще поиска разрешение за споделяне на данни със Сайт А. Ако потребителят е преминавал през този процес преди, страницата на социалната медия автоматично ще удостовери автентичността на потребителя в Сайт А.

Изследователите от Salt Labs откриха CVE-2023-28131 в Codeacademy.com, онлайн платформа, която предлага безплатни класове по кодиране на дузина езици за програмиране. Компании, сред които Google, LinkedIn, Amazon, Spotify и други, използват сайта, за да подпомагат обучението на служители, а сайтът има около 100 милиона потребители. Изследователите в крайна сметка са използвали недостатъка, за да получат пълен контрол над акаунтите в Codeacademy.com, казват те.

Уязвимостта в имплементацията на OAuth в рамките на Expo е свързана с процеса на социално вписване, казва Кармел пред Dark Reading. „Когато потребителите влизат в системата, използвайки своите идентификационни данни от Facebook или Google, Expo действа като посредник и прехвърля идентификационните данни на потребителя към целевия уебсайт“, казва той.

Атакуващите биха могли да използват CVE-2023-28131, като прихванат този поток и манипулират Expo да изпрати потребителските пълномощия към злонамерен домейн вместо към предвидената дестинация, обяснява Carmel.

Тази експлоатация би могла да доведе до изтичане на лични данни или дори до финансова измама, ако нападателите са използвали пълномощията, за да влязат във финансовите сметки на потребителите. Освен това участниците в заплахите потенциално биха могли да извършат действия от името на потребителите в техните акаунти в социалните мрежи, казва Кармел.

Защо OAuth е труден

Популярността на OAuth се дължи на това, че може да осигури много по-безпроблемно потребителско изживяване за хората, когато взаимодействат с често използвани уебсайтове. Той обаче има сложна техническа основа, която може да доведе до грешки при прилагането му, създавайки пропуски в сигурността, които са готови за използване, казват изследователите.

Следователно, за да защити внедряването на OAuth, организацията трябва да разбере как функционира OAuth и кои крайни точки могат да получават потребителски входни данни, казва Кармел.

„Атакуващите могат да се опитат да манипулират тези входове, така че валидирането на всеки от тях е от съществено значение“, съветва той. „Това може да се постигне чрез поддържане на бял списък с предварително определени стойности или чрез прилагане на други строги методи за валидиране.“

Поради това колко сложни се оказват внедряванията на OAuth, Salt Security планира в бъдеще да издаде ръководство за най-добри практики, за да помогне на предприятията да защитят ефективно своите внедрявания на OAuth, добавя Кармел.

Източник: DARKReading

Подобни публикации

7 ноември 2024

Nokia: Hяма доказателства, че хакери са проникн...

Както писахме още в неделя, Nokia разследва предполагаема кибератак...
7 ноември 2024

Ботнетът за Android "ToxicPanda" поразява банки...

Изследователите определиха нов ботнет на сцената, за който първонач...
7 ноември 2024

Бандите все по-често използват комплектът Winos...

Хакерите все по-често се насочват към потребителите на Windows със ...
7 ноември 2024

Notepad ще получи инструмент за пренаписване, з...

Microsoft започна да тества инструменти за пренаписване на текст в ...
7 ноември 2024

Бъг в Cisco позволява да се изпълняват команди ...

Cisco е отстранила уязвимост с максимална степен на сериозност, коя...
7 ноември 2024

SteelFox превзема компютри с Windows, използвай...

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и крад...
6 ноември 2024

Системите на съдилищата в щата Вашингтон са офл...

Съдебните системи в щата Вашингтон не функционират от неделя, когат...
Бъдете социални
Още по темата
05/11/2024

Okta поправя грешка за заоб...

Грешката засягаше акаунти с 52-символни потребителски...
04/11/2024

Софтуерът за автоматизация ...

Софтуерът за автоматизация  от Mitsubishi Electric...
03/11/2024

Използван е бъг RCE в Micro...

Наскоро разкритата уязвимост на Microsoft SharePoint...
Последно добавени
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!