Търсене
Close this search box.

Дефектите в прилагането на стандарта за отворена оторизация (OAuth) в три известни онлайн услуги може да са позволили на нападателите да превземат стотици милиони потребителски акаунти в десетки уебсайтове, излагайки хората на кражба на удостоверения, финансови измами и други киберпрестъпни дейности.

Изследователи от Salt Labs са открили критични грешки в конфигурацията на API на сайтовете на няколко онлайн компании – инструмента за писане с изкуствен интелект (AI) Grammarly, платформата за онлайн стрийминг Vidio и индонезийския сайт за електронна търговия Bukalapak – които ги карат да смятат, че десетки други сайтове вероятно са компрометирани по същия начин, разкриват те в доклад, публикуван на 24 октомври.

OAuth е широко прилаган стандарт за позволяване на междуплатформена автентикация, познат на повечето като възможност за влизане в онлайн сайт с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“.

Откритите наскоро недостатъци в прилагането са сред поредица от проблеми в OAuth, които изследователите откриха през последните месеци и които обхващат известни онлайн платформи и излагат потребителите на риск. Изследователите на Salt вече бяха открили подобни недостатъци на OAuth в уебсайта Booking.com и Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база – които биха могли да позволят превземане на акаунти и пълна видимост към личните данни на потребителите или данните от платежните им карти. Недостатъкът на Booking.com можеше да позволи и достъп до сестринската платформа на уебсайта – Kayak.com.

Изследователите наричат широко последния проблем, открит във Vidio, Grammarly и Bukalapak, „Pass-The-Token“ недостатък, при който атакуващият може да използва токен – уникален, таен идентификатор на сайта, използван за проверка на предаването – от сайт на трета страна, обикновено собственост на самия атакуващ, за да влезе в друга услуга.

„Например, ако даден потребител влезе в сайт, наречен mytimeplanner.com, който е собственост на нападателя, той може да използва токена на потребителя и да влезе от негово име в други сайтове, като Grammarly например“, обяснява Янив Балмас, вицепрезидент по изследванията в Salt, пред Dark Reading.

Изследователите са открили последните проблеми във Vidio, Bukalapak и Grammarly съответно между февруари и април и са уведомили последователно трите компании, които са реагирали своевременно. Оттогава всички неправилни конфигурации са били отстранени в тези конкретни услуги, но това не е краят на историята.

„Само тези три сайта са ни достатъчни, за да докажем правотата си, и решихме да не търсим допълнителни цели“, се казва в доклада, „но очакваме, че хиляди други уебсайтове са уязвими към атаката, която подробно описваме в тази публикация, което излага на риск милиарди допълнителни интернет потребители всеки ден“.

Различни начини за неправилно конфигуриране на OAuth

Проблемът се проявява по уникален начин във всеки от трите сайта. При Vidio, платформа за онлайн стрийминг със 100 милиона активни потребители месечно, изследователите установиха, че при влизане в сайта чрез Facebook сайтът не проверява токена – което трябва да направят разработчиците на сайта, а не OAuth. Поради това атакуващият би могъл да манипулира API повикванията, за да вмъкне токен за достъп, генериран за друго приложение, установиха изследователите.

„Тази алтернативна комбинация от токъни/AppID позволи на изследователския екип на Salt Labs да се представи за потребител на сайта Vidio, което би позволило масово превземане на хиляди акаунти“, пишат изследователите в доклада.

Подобно на Vidio, Bukalapak – който има повече от 150 милиона месечни потребители – също не е проверявал токена за достъп, когато потребителите са се регистрирали, използвайки социален вход. По подобен начин изследователите биха могли да вмъкнат токен от друг уебсайт, за да получат достъп до идентификационните данни на потребителя и да превземат изцяло неговия акаунт.

Проблемът с OAuth, открит в Grammarly – който ежедневно помага на повече от 30 милиона потребители да подобрят писането си, като предлага проверки на граматиката, пунктуацията, правописа и други съвети за писане – се проявяваше по малко по-различен начин.

Изследователите са установили, че чрез разузнаване на API повикванията и изучаване на терминологията, която сайтът Grammarly използва за изпращане на кода, те могат да манипулират обмена на API, за да вмъкнат код, използван за верифициране на потребителите в друг сайт, и отново да получат идентификационните данни на потребителския акаунт и да постигнат пълно превземане на акаунта.

Сигурен OAuth от самото начало

Самият OAuth е добре проектиран и основните доставчици на OAuth, като Google и Facebook, имат защитени сървъри, които ги предпазват отзад. Въпреки това разработчиците на услуги и сайтове, които използват стандарта за извършване на предаването на удостоверяването, често създават проблеми, които правят обмена по същество несигурен, дори ако сайтът изглежда, че функционира правилно, казва Балмас.

„За всеки е много лесно да добави функционалност за социално логване към своя уебсайт … и всъщност всичко ще работи съвсем добре“, казва той. „Въпреки това, без подходящи познания и информираност, е много лесно да се оставят пукнатини, с които нападателят ще може да злоупотреби и да постигне много сериозно въздействие върху всички потребители на сайта.“

По тази причина за сигурността на сайтовете и услугите, които използват OAuth, е от съществено значение да бъдат сигурни от гледна точка на внедряването, което може да изисква от разработчиците да си напишат домашното преди да вградят стандарта в сайта.

„Уеб услугите, които желаят да внедрят социално влизане или други функционалности, свързани с OAuth, трябва да се уверят, че имат солидни познания за това как работи OAuth и за често срещаните капани, които могат да имат потенциал за злоупотреба“, казва той.

Разработчиците могат също така да използват инструменти на трети страни, които следят за аномалии и отклонения от типичното поведение и които могат да идентифицират все още неизвестни атаки, осигурявайки защитна мрежа за сайта и по този начин за всички негови потребители, добавя Балмас.

Източник: DARKReading

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!