Търсене
Close this search box.

„Влезте с“ … Функцията позволява пълно превземане на онлайн акаунти

Дефектите в прилагането на стандарта за отворена оторизация (OAuth) в три известни онлайн услуги може да са позволили на нападателите да превземат стотици милиони потребителски акаунти в десетки уебсайтове, излагайки хората на кражба на удостоверения, финансови измами и други киберпрестъпни дейности.

Изследователи от Salt Labs са открили критични грешки в конфигурацията на API на сайтовете на няколко онлайн компании – инструмента за писане с изкуствен интелект (AI) Grammarly, платформата за онлайн стрийминг Vidio и индонезийския сайт за електронна търговия Bukalapak – които ги карат да смятат, че десетки други сайтове вероятно са компрометирани по същия начин, разкриват те в доклад, публикуван на 24 октомври.

OAuth е широко прилаган стандарт за позволяване на междуплатформена автентикация, познат на повечето като възможност за влизане в онлайн сайт с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“.

Откритите наскоро недостатъци в прилагането са сред поредица от проблеми в OAuth, които изследователите откриха през последните месеци и които обхващат известни онлайн платформи и излагат потребителите на риск. Изследователите на Salt вече бяха открили подобни недостатъци на OAuth в уебсайта Booking.com и Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база – които биха могли да позволят превземане на акаунти и пълна видимост към личните данни на потребителите или данните от платежните им карти. Недостатъкът на Booking.com можеше да позволи и достъп до сестринската платформа на уебсайта – Kayak.com.

Изследователите наричат широко последния проблем, открит във Vidio, Grammarly и Bukalapak, „Pass-The-Token“ недостатък, при който атакуващият може да използва токен – уникален, таен идентификатор на сайта, използван за проверка на предаването – от сайт на трета страна, обикновено собственост на самия атакуващ, за да влезе в друга услуга.

„Например, ако даден потребител влезе в сайт, наречен mytimeplanner.com, който е собственост на нападателя, той може да използва токена на потребителя и да влезе от негово име в други сайтове, като Grammarly например“, обяснява Янив Балмас, вицепрезидент по изследванията в Salt, пред Dark Reading.

Изследователите са открили последните проблеми във Vidio, Bukalapak и Grammarly съответно между февруари и април и са уведомили последователно трите компании, които са реагирали своевременно. Оттогава всички неправилни конфигурации са били отстранени в тези конкретни услуги, но това не е краят на историята.

„Само тези три сайта са ни достатъчни, за да докажем правотата си, и решихме да не търсим допълнителни цели“, се казва в доклада, „но очакваме, че хиляди други уебсайтове са уязвими към атаката, която подробно описваме в тази публикация, което излага на риск милиарди допълнителни интернет потребители всеки ден“.

Различни начини за неправилно конфигуриране на OAuth

Проблемът се проявява по уникален начин във всеки от трите сайта. При Vidio, платформа за онлайн стрийминг със 100 милиона активни потребители месечно, изследователите установиха, че при влизане в сайта чрез Facebook сайтът не проверява токена – което трябва да направят разработчиците на сайта, а не OAuth. Поради това атакуващият би могъл да манипулира API повикванията, за да вмъкне токен за достъп, генериран за друго приложение, установиха изследователите.

„Тази алтернативна комбинация от токъни/AppID позволи на изследователския екип на Salt Labs да се представи за потребител на сайта Vidio, което би позволило масово превземане на хиляди акаунти“, пишат изследователите в доклада.

Подобно на Vidio, Bukalapak – който има повече от 150 милиона месечни потребители – също не е проверявал токена за достъп, когато потребителите са се регистрирали, използвайки социален вход. По подобен начин изследователите биха могли да вмъкнат токен от друг уебсайт, за да получат достъп до идентификационните данни на потребителя и да превземат изцяло неговия акаунт.

Проблемът с OAuth, открит в Grammarly – който ежедневно помага на повече от 30 милиона потребители да подобрят писането си, като предлага проверки на граматиката, пунктуацията, правописа и други съвети за писане – се проявяваше по малко по-различен начин.

Изследователите са установили, че чрез разузнаване на API повикванията и изучаване на терминологията, която сайтът Grammarly използва за изпращане на кода, те могат да манипулират обмена на API, за да вмъкнат код, използван за верифициране на потребителите в друг сайт, и отново да получат идентификационните данни на потребителския акаунт и да постигнат пълно превземане на акаунта.

Сигурен OAuth от самото начало

Самият OAuth е добре проектиран и основните доставчици на OAuth, като Google и Facebook, имат защитени сървъри, които ги предпазват отзад. Въпреки това разработчиците на услуги и сайтове, които използват стандарта за извършване на предаването на удостоверяването, често създават проблеми, които правят обмена по същество несигурен, дори ако сайтът изглежда, че функционира правилно, казва Балмас.

„За всеки е много лесно да добави функционалност за социално логване към своя уебсайт … и всъщност всичко ще работи съвсем добре“, казва той. „Въпреки това, без подходящи познания и информираност, е много лесно да се оставят пукнатини, с които нападателят ще може да злоупотреби и да постигне много сериозно въздействие върху всички потребители на сайта.“

По тази причина за сигурността на сайтовете и услугите, които използват OAuth, е от съществено значение да бъдат сигурни от гледна точка на внедряването, което може да изисква от разработчиците да си напишат домашното преди да вградят стандарта в сайта.

„Уеб услугите, които желаят да внедрят социално влизане или други функционалности, свързани с OAuth, трябва да се уверят, че имат солидни познания за това как работи OAuth и за често срещаните капани, които могат да имат потенциал за злоупотреба“, казва той.

Разработчиците могат също така да използват инструменти на трети страни, които следят за аномалии и отклонения от типичното поведение и които могат да идентифицират все още неизвестни атаки, осигурявайки защитна мрежа за сайта и по този начин за всички негови потребители, добавя Балмас.

Източник: DARKReading

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
10/02/2024

Как ChatGPT промени света

ИТ индустрията непрекъснато се усъвършенства и...
12/12/2023

PoolParty надхитряват решен...

Нова колекция от осем техники за...
20/10/2023

Професионалистите предупреж...

Европейският съюз (ЕС) може скоро да...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!