Изследователи откриха и публикуваха подробности за XSS атака, която потенциално може да засегне милиони уебсайтове по света.
Salt Labs, изследователското звено на фирмата за сигурност на API Salt Security, откри и публикува подробности за атака с кръстосано скриптиране на сайтове (XSS), която потенциално може да засегне милиони уебсайтове по света.
Това не е продуктова уязвимост, която може да бъде поправена централно. Това е по-скоро проблем с прилагането на уеб код и масово популярно приложение: OAuth, използвана за влизане в социалните мрежи. Повечето разработчици на уебсайтове смятат, че бичът XSS е останал в миналото, решен чрез поредица от смекчаващи мерки, въведени през годините. Salt показва, че това не е непременно така.
С по-малка концентрация върху проблемите с XSS и приложение за социални влизания, което се използва широко и е лесно за придобиване и внедряване за минути, разработчиците могат да отклонят вниманието си от проблема. Тук има усещане за познатост, а познатостта ражда грешки.
Основният проблем не е непознат. Нова технология с нови процеси, въведена в съществуваща екосистема, може да наруши установеното равновесие на тази екосистема. Това се е случило тук. Проблемът не е в OAuth, а в прилагането на OAuth в уебсайтовете. От Salt Labs откриха, че ако не се прилага внимателно и стриктно – а това рядко се случва – използването на OAuth може да отвори нов път за XSS, който заобикаля настоящите смекчаващи мерки и може да доведе до пълно превземане на акаунти.
Salt Labs публикува подробности за своите констатации и методологии, като се концентрира само върху две фирми: HotJar и Business Insider. Значението на тези два примера е, първо, че това са големи фирми със силно изразено отношение към сигурността, и второ, че количеството на личните данни, които HotJar потенциално притежава, е огромно. Ако тези две големи фирми са приложили неправилно OAuth, то вероятността уебсайтове с по-малко ресурси да са направили подобно нещо е огромна.
За сведение вицепрезидентът по изследванията на Salt Янив Балмас заявява, че проблеми с OAuth са открити и в уебсайтове като Booking.com, Grammarly и OpenAI, но не ги е включил в доклада си. „Това са само бедните души, които попаднаха под нашия микроскоп. Ако продължим да търсим, ще го открием и на други места. Сигурен съм в това на 100%“, казва той.
Тук ще се съсредоточим върху HotJar заради насищането на пазара, количеството лични данни, които събира, и ниската му обществена разпознаваемост. „Той е подобен на Google Analytics или може би е допълнение към Google Analytics“, обясни Балмас. „Той записва много данни за потребителските сесии на посетителите на уебсайтовете, които го използват – което означава, че почти всеки ще използва HotJar на сайтове, включително Adobe, Microsoft, Panasonic, Columbia, Ryanair, Decathlon, T-Mobile, Nintendo и още много други големи имена.“ Спокойно може да се каже, че милиони уебсайтове използват HotJar.
Целта на HotJar е да събира статистически данни за потребителите за своите клиенти. „Но от това, което виждаме в HotJar, той записва екранни снимки и сесии и следи за кликвания с клавиатурата и действия с мишката. Потенциално там се съхранява много чувствителна информация, като имена, имейли, адреси, лични съобщения, банкови данни и дори идентификационни данни, а вие и милиони други потребители, които може би не са чували за HotJar, сега зависите от сигурността на тази фирма, за да запази информацията ви поверителна.“ И Salt Labs е открила начин да достигне до тези данни.
(В интерес на HotJar трябва да отбележим, че на фирмата ѝ бяха необходими само три дни, за да отстрани проблема, след като Salt Labs го разкри.)
HotJar е следвала всички най-добри практики за предотвратяване на XSS атаки. Това е трябвало да предотврати типичните атаки. Но HotJar също така използва OAuth, за да позволява социални влизания. Ако потребителят избере да „влезе с Google“, HotJar пренасочва към Google. Ако Google разпознае предполагаемия потребител, той пренасочва обратно към HotJar с URL адрес, който съдържа таен код, който може да бъде прочетен. По същество атаката е просто метод за фалшифициране и прихващане на този процес и получаване на легитимни тайни за вход.
„За да комбинираме XSS с тази нова функция за социално влизане (OAuth) и да постигнем работеща експлоатация, използваме код на JavaScript, който стартира нов поток за влизане в OAuth в нов прозорец и след това прочита токена от този прозорец“, обяснява Балмас. Google пренасочва потребителя, но с тайните за вход в URL адреса. „JS кодът прочита URL адреса от новия таб (това е възможно, защото ако имате XSS на домейн в един прозорец, този прозорец след това може да достигне до други прозорци със същия произход) и извлича от него удостоверенията OAuth.“
По същество „атаката“ се нуждае само от изработена връзка към Google (имитираща опит за социално влизане в HotJar, но изискваща отговор „код токен“, а не просто „код“, за да се предотврати използването от HotJar на еднократния код); и метод за социално инженерство, който да убеди жертвата да кликне върху връзката и да започне атаката (като кодът се предава на нападателя). Това е основата на атаката: фалшива връзка (но такава, която изглежда легитимна), убеждаване на жертвата да щракне върху връзката и получаване на код за влизане в системата, който може да бъде използван.
„След като нападателят получи кода на жертвата, той може да започне нов поток за влизане в HotJar, но да замени своя код с кода на жертвата – което води до пълно превземане на акаунта“, съобщава Salt Labs.
Уязвимостта не е в OAuth, а в начина, по който OAuth се прилага от много уебсайтове. Напълно сигурното изпълнение изисква допълнителни усилия, които повечето уебсайтове просто не осъзнават и не въвеждат в действие, или просто нямат вътрешните умения за това.
От собствените си разследвания Salt Labs смята, че вероятно има милиони уязвими уебсайтове по света. Мащабът е твърде голям, за да може фирмата да разследва и уведомява всеки поотделно. Вместо това Salt Labs реши да публикува своите констатации, но в комбинация с безплатен скенер, който позволява на уебсайтовете на потребителите на OAuth да проверят дали са уязвими.
Скенерът е достъпен тук.
Той осигурява безплатно сканиране на домейни като система за ранно предупреждение. Чрез предварителното идентифициране на потенциални проблеми с прилагането на OAuth XSS Salt се надява организациите да ги решат активно, преди да са прераснали в по-големи проблеми. „Нямаме обещания“, коментира Балмас. „Не мога да обещая 100% успех, но има много голям шанс да успеем да направим това и поне да насочим потребителите към критичните места в мрежата им, които може да са свързани с този риск.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.