Grammarly, Vidio ve Bukalapak gibi popüler çevrimiçi hizmetlerin Açık Yetkilendirme (OAuth) uygulamasında, Booking’de ortaya çıkarılan önceki eksikliklere dayanarak kritik güvenlik kusurları ortaya çıktı[.]com ve Expo.
Şubat ve Nisan 2023 arasındaki sorumlu açıklamanın ardından ilgili şirketler tarafından ele alınan zayıf noktalar, kötü niyetli aktörlerin erişim belirteçleri elde etmesine ve potansiyel olarak kullanıcı hesaplarını ele geçirmesine olanak tanımış olabilir.
OAuth bir standart Bu, genellikle uygulamalar arası erişim için bir mekanizma olarak kullanılır; web sitelerine veya uygulamalara, Facebook gibi diğer web sitelerindeki bilgilerine erişim izni verir, ancak onlara şifreleri vermez.
“Hizmet kimlik doğrulaması sağlamak için OAuth kullanıldığında, içindeki herhangi bir güvenlik ihlali, kimlik hırsızlığına, finansal dolandırıcılığa ve sunulan hizmete bağlı olarak kredi kartı numaraları, özel mesajlar, sağlık kayıtları ve daha fazlası dahil olmak üzere çeşitli kişisel bilgilere erişime yol açabilir. saldırıya uğradı,” Salt Güvenlik araştırmacısı Aviad Carmel söz konusu.
Vidio’da tanımlanan sorun, belirteç doğrulamasının bulunmamasından kaynaklanıyor; bu, bir saldırganın başka bir kişi için oluşturulan erişim belirtecini kullanabileceği anlamına geliyor Uygulama kimliğigeliştirici portalına kaydolan her uygulama veya web sitesi için Facebook tarafından oluşturulan rastgele bir tanımlayıcıdır.
Olası bir saldırı senaryosunda, bir tehdit aktörü, erişim belirteçlerini toplamak ve ardından bunları Vidio.com’a (Uygulama Kimliği 92356’ya sahip) karşı kullanmak için Facebook aracılığıyla oturum açma seçeneği sunan hileli bir web sitesi oluşturabilir ve böylece tüm hesabın ele geçirilmesine olanak sağlayabilir. .
API güvenlik firması, Bukalapak.com’da Facebook girişi yoluyla token doğrulamada yetkisiz hesap erişimine yol açabilecek benzer bir sorun keşfettiğini söyledi.
Grammarly’de, kullanıcılar “Facebook ile giriş yap” seçeneğini kullanarak hesaplarına giriş yapmaya çalıştıklarında auth.grammarly’ye bir HTTP POST isteği gönderildiği ortaya çıktı.[.]com’a giderek gizli bir kod kullanarak kimliklerini doğrulayın.
Sonuç olarak, Grammarly, Vidio ve Bukalapak örneğinde olduğu gibi token yeniden kullanım saldırısına karşı hassas olmasa da, POST isteğinin, gizli kodu elde edilen bir erişim tokenıyla değiştirmek üzere değiştirilebildiği farklı türde bir soruna karşı savunmasızdır. Hesaba erişim sağlamak için yukarıda belirtilen kötü amaçlı web sitesinden.
Carmel, “Ve diğer sitelerde olduğu gibi Grammarly uygulaması da jeton doğrulaması yapmadı” dedi ve şunu ekledi: “Hesabın ele geçirilmesi, bir saldırganın kurbanın saklanan belgelerine erişmesine olanak tanır.”