Дефектите в прилагането на стандарта за отворена оторизация (OAuth) в три известни онлайн услуги може да са позволили на нападателите да превземат стотици милиони потребителски акаунти в десетки уебсайтове, излагайки хората на кражба на удостоверения, финансови измами и други киберпрестъпни дейности.
Изследователи от Salt Labs са открили критични грешки в конфигурацията на API на сайтовете на няколко онлайн компании – инструмента за писане с изкуствен интелект (AI) Grammarly, платформата за онлайн стрийминг Vidio и индонезийския сайт за електронна търговия Bukalapak – които ги карат да смятат, че десетки други сайтове вероятно са компрометирани по същия начин, разкриват те в доклад, публикуван на 24 октомври.
OAuth е широко прилаган стандарт за позволяване на междуплатформена автентикация, познат на повечето като възможност за влизане в онлайн сайт с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“.
Откритите наскоро недостатъци в прилагането са сред поредица от проблеми в OAuth, които изследователите откриха през последните месеци и които обхващат известни онлайн платформи и излагат потребителите на риск. Изследователите на Salt вече бяха открили подобни недостатъци на OAuth в уебсайта Booking.com и Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база – които биха могли да позволят превземане на акаунти и пълна видимост към личните данни на потребителите или данните от платежните им карти. Недостатъкът на Booking.com можеше да позволи и достъп до сестринската платформа на уебсайта – Kayak.com.
Изследователите наричат широко последния проблем, открит във Vidio, Grammarly и Bukalapak, „Pass-The-Token“ недостатък, при който атакуващият може да използва токен – уникален, таен идентификатор на сайта, използван за проверка на предаването – от сайт на трета страна, обикновено собственост на самия атакуващ, за да влезе в друга услуга.
„Например, ако даден потребител влезе в сайт, наречен mytimeplanner.com, който е собственост на нападателя, той може да използва токена на потребителя и да влезе от негово име в други сайтове, като Grammarly например“, обяснява Янив Балмас, вицепрезидент по изследванията в Salt, пред Dark Reading.
Изследователите са открили последните проблеми във Vidio, Bukalapak и Grammarly съответно между февруари и април и са уведомили последователно трите компании, които са реагирали своевременно. Оттогава всички неправилни конфигурации са били отстранени в тези конкретни услуги, но това не е краят на историята.
„Само тези три сайта са ни достатъчни, за да докажем правотата си, и решихме да не търсим допълнителни цели“, се казва в доклада, „но очакваме, че хиляди други уебсайтове са уязвими към атаката, която подробно описваме в тази публикация, което излага на риск милиарди допълнителни интернет потребители всеки ден“.
Проблемът се проявява по уникален начин във всеки от трите сайта. При Vidio, платформа за онлайн стрийминг със 100 милиона активни потребители месечно, изследователите установиха, че при влизане в сайта чрез Facebook сайтът не проверява токена – което трябва да направят разработчиците на сайта, а не OAuth. Поради това атакуващият би могъл да манипулира API повикванията, за да вмъкне токен за достъп, генериран за друго приложение, установиха изследователите.
„Тази алтернативна комбинация от токъни/AppID позволи на изследователския екип на Salt Labs да се представи за потребител на сайта Vidio, което би позволило масово превземане на хиляди акаунти“, пишат изследователите в доклада.
Подобно на Vidio, Bukalapak – който има повече от 150 милиона месечни потребители – също не е проверявал токена за достъп, когато потребителите са се регистрирали, използвайки социален вход. По подобен начин изследователите биха могли да вмъкнат токен от друг уебсайт, за да получат достъп до идентификационните данни на потребителя и да превземат изцяло неговия акаунт.
Проблемът с OAuth, открит в Grammarly – който ежедневно помага на повече от 30 милиона потребители да подобрят писането си, като предлага проверки на граматиката, пунктуацията, правописа и други съвети за писане – се проявяваше по малко по-различен начин.
Изследователите са установили, че чрез разузнаване на API повикванията и изучаване на терминологията, която сайтът Grammarly използва за изпращане на кода, те могат да манипулират обмена на API, за да вмъкнат код, използван за верифициране на потребителите в друг сайт, и отново да получат идентификационните данни на потребителския акаунт и да постигнат пълно превземане на акаунта.
Самият OAuth е добре проектиран и основните доставчици на OAuth, като Google и Facebook, имат защитени сървъри, които ги предпазват отзад. Въпреки това разработчиците на услуги и сайтове, които използват стандарта за извършване на предаването на удостоверяването, често създават проблеми, които правят обмена по същество несигурен, дори ако сайтът изглежда, че функционира правилно, казва Балмас.
„За всеки е много лесно да добави функционалност за социално логване към своя уебсайт … и всъщност всичко ще работи съвсем добре“, казва той. „Въпреки това, без подходящи познания и информираност, е много лесно да се оставят пукнатини, с които нападателят ще може да злоупотреби и да постигне много сериозно въздействие върху всички потребители на сайта.“
По тази причина за сигурността на сайтовете и услугите, които използват OAuth, е от съществено значение да бъдат сигурни от гледна точка на внедряването, което може да изисква от разработчиците да си напишат домашното преди да вградят стандарта в сайта.
„Уеб услугите, които желаят да внедрят социално влизане или други функционалности, свързани с OAuth, трябва да се уверят, че имат солидни познания за това как работи OAuth и за често срещаните капани, които могат да имат потенциал за злоупотреба“, казва той.
Разработчиците могат също така да използват инструменти на трети страни, които следят за аномалии и отклонения от типичното поведение и които могат да идентифицират все още неизвестни атаки, осигурявайки защитна мрежа за сайта и по този начин за всички негови потребители, добавя Балмас.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.