Търсене
Close this search box.

Грешка в OAuth засяга стотици сайтове и приложения на трети страни

Уязвимост в киберсигурността, открита при прилагането на функционалността за влизане в социалната мрежа, дава възможност за превземане на акаунти и др.

Уязвимост в прилагането на стандарта Open Authorization (OAuth), който уебсайтовете и приложенията използват за свързване с Facebook, Google, Apple, Twitter и др., може да позволи на нападателите да превземат потребителски акаунти, да получат достъп до чувствителна информация и/или да я изнесат и дори да извършат финансови измами.

OAuth влиза в действие, когато потребителят влезе в даден уебсайт и кликне върху връзка за влизане с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“ – функция, която много сайтове използват, за да позволят удостоверяване между платформите. Екип от лабораторията Salt Labs на фирмата Salt Security, специализирана в областта на сигурността на API, е открил дефекта, проследен като CVE-2023-28131, в имплементацията на OAuth в Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база.

По-конкретно, недостатъкът потенциално може да засегне всички потребители, които използват различни и акаунти в социални медии, за да се логнат в онлайн услуга, която използва рамката, разкриха изследователите в публикация в блога, публикувана на 24 май.

Уязвимостта е втората – и с по-голямо въздействие – която изследователите на Salt откриват в прилагането на OAuth от онлайн платформа, което се оказва труден стандарт за сигурно прилагане. През март Salt откри недостатък в прилагането на OAuth от Booking.com, който можеше да позволи на нападателите да превземат потребителски акаунти и да получат пълна видимост към техните лични данни или данни за платежни карти, както и да влязат в акаунти в сестринската платформа на уебсайта Kayak.com.

Риск за трети страни при внедряването на OAuth

Недостатъкът в Expo може да има много по-широко въздействие, отколкото този в Booking.com, поради широката инсталационна база на Expo, казва пред Dark Reading Авиад Кармел, изследовател по сигурността на Salt.

„Тъй като тази втора уязвимост на OAuth беше открита в рамка на трета страна, използвана от стотици компании, потенциалната експозиция беше много по-голяма“, казва той. „Тя можеше да повлияе на имплементациите на OAuth на стотици уебсайтове и приложения.“

Освен това OAuth се превръща в де факто стандарт за удостоверяване в съвременните архитектури, базирани на услуги, както и в нововъзникващите платформи, базирани на изкуствен интелект (ИИ). Това по своята същност означава, че всякакви уязвимости в реализациите на OAuth имат широк обхват. Всъщност в друго изследване, представено на 24 май, фирмата за сигурност DoControl разкри, че 24% от приложенията за изкуствен интелект на трети страни изискват рискови разрешения за OAuth.

Expo закърпи CVE-2023-28131 в рамките на няколко часа, след като изследователите на Salt сигнализираха за проблема, а разработчиците, поддържащи платформата, препоръчаха в публикация в блога, в която подробно се описва недостатъкът, клиентите да актуализират своите внедрявания на Expo, за да намалят напълно риска.

Въпреки това нарастващият списък с уязвимости на OAuth и цялостната сложност на правилното конфигуриране на стандарта, които те подчертават, предполагат, че под повърхността на повече уебсайтове и приложения може да се крият неоткрити недостатъци.

Констатациите също така показват как предприятията са неблагоприятно и широко засегнати, когато рамки на трети страни въвеждат уязвимости в API в тяхната среда, често без да знаят. Това излага клиентите на риск от изтичане на удостоверения или превземане на акаунти и дава на бандите платформа, от която да извършват по-нататъшни атаки, казват изследователите.

Използване на недостатъка на Expo

Когато потребителят щракне върху връзка, активирана от OAuth, за да влезе в сайт А с акаунт в социална медия, сайтът А ще отвори нов прозорец към Facebook, Google или какъвто и да е доверен акаунт, който се използва. Ако потребителят посещава за пръв път Сайт А, страницата на социалната медия ще поиска разрешение за споделяне на данни със Сайт А. Ако потребителят е преминавал през този процес преди, страницата на социалната медия автоматично ще удостовери автентичността на потребителя в Сайт А.

Изследователите от Salt Labs откриха CVE-2023-28131 в Codeacademy.com, онлайн платформа, която предлага безплатни класове по кодиране на дузина езици за програмиране. Компании, сред които Google, LinkedIn, Amazon, Spotify и други, използват сайта, за да подпомагат обучението на служители, а сайтът има около 100 милиона потребители. Изследователите в крайна сметка са използвали недостатъка, за да получат пълен контрол над акаунтите в Codeacademy.com, казват те.

Уязвимостта в имплементацията на OAuth в рамките на Expo е свързана с процеса на социално вписване, казва Кармел пред Dark Reading. „Когато потребителите влизат в системата, използвайки своите идентификационни данни от Facebook или Google, Expo действа като посредник и прехвърля идентификационните данни на потребителя към целевия уебсайт“, казва той.

Атакуващите биха могли да използват CVE-2023-28131, като прихванат този поток и манипулират Expo да изпрати потребителските пълномощия към злонамерен домейн вместо към предвидената дестинация, обяснява Carmel.

Тази експлоатация би могла да доведе до изтичане на лични данни или дори до финансова измама, ако нападателите са използвали пълномощията, за да влязат във финансовите сметки на потребителите. Освен това участниците в заплахите потенциално биха могли да извършат действия от името на потребителите в техните акаунти в социалните мрежи, казва Кармел.

Защо OAuth е труден

Популярността на OAuth се дължи на това, че може да осигури много по-безпроблемно потребителско изживяване за хората, когато взаимодействат с често използвани уебсайтове. Той обаче има сложна техническа основа, която може да доведе до грешки при прилагането му, създавайки пропуски в сигурността, които са готови за използване, казват изследователите.

Следователно, за да защити внедряването на OAuth, организацията трябва да разбере как функционира OAuth и кои крайни точки могат да получават потребителски входни данни, казва Кармел.

„Атакуващите могат да се опитат да манипулират тези входове, така че валидирането на всеки от тях е от съществено значение“, съветва той. „Това може да се постигне чрез поддържане на бял списък с предварително определени стойности или чрез прилагане на други строги методи за валидиране.“

Поради това колко сложни се оказват внедряванията на OAuth, Salt Security планира в бъдеще да издаде ръководство за най-добри практики, за да помогне на предприятията да защитят ефективно своите внедрявания на OAuth, добавя Кармел.

Източник: DARKReading

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
23/07/2024

CrowdStrike ускорява възста...

В понеделник CrowdStrike информира клиентите си,...
21/07/2024

CrowdStrike предоставя насо...

В събота CrowdStrike предостави техническа информация...
20/07/2024

CrowdStrike: Логическа греш...

Късно в петък CrowdStrike съобщи, че...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!