Kritik API güvenlik açıkları (Web kullanıcı etkinliğini izleyen ve kaydeden Hotjar hizmeti ve popüler Business Insider küresel haber sitesi içinde) milyonlarca kullanıcıyı riske attı. hesap devralma, Uzun zamandır var olan bir güvenlik açığını yeniden canlandırmak için modern bir kimlik doğrulama standardı kullanıldı.
Bu, API güvenlik firması Salt Security’nin Salt Labs’ına göre; eşleştirme manipülasyonunun, OAuth standardı İki sitedeki çapraz site betik çalıştırma (XSS) kusurları nedeniyle saldırganlar hassas verileri açığa çıkarabilir ve bir milyondan fazla web sitesinin meşru kullanıcıları gibi davranarak kötü amaçlı faaliyetlerde bulunabilir.
Kullanıcıların davranışlarını analiz etmek için kullanıcı aktivitelerini kaydederek Google Analytics’i tamamlayan bir araç olan Hotjar, Adobe, Microsoft, Panasonic, Columbia, RyanAir, Decathlon, T-Mobile ve Nintendo gibi tanınmış markaların da aralarında bulunduğu bir milyondan fazla web sitesine hizmet veriyor.
“Hotjar çözümünün doğası gereği topladığı veriler, isimler, e-postalar, adresler, özel mesajlar, banka bilgileri ve hatta belirli koşullar altında kimlik bilgileri gibi çok miktarda kişisel ve hassas veriyi içerebilir.” Salt Labs blog yazısı Araştırma üzerine.
Business Insider web sitesinde bulunan ayrı ancak aynı derecede tehlikeli bir güvenlik açığı, bu arada, milyonlarca küresel kullanıcısı olan sitedeki hesapları ele geçirmek için çapraz site betik çalıştırma (XSS) saldırısı gerçekleştirmek amacıyla kullanılabilir.
Araştırmacılar, daha da endişe verici olanı, aynı sorunların muhtemelen yaygın olması ve internetin birçok alanında gizleniyor olması uyarısında bulundu.
Modern Bir Kimlik Doğrulama Standardı Eski Bir Kusurla Karşılaşıyor
OAuth, birçok web sitesinde bulunan “Facebook ile oturum aç” veya “Google ile oturum aç” işlevselliğinin arkasındaki motor olarak bilinen, sorunsuz çapraz web sitesi kimlik doğrulaması için giderek daha fazla kullanılan nispeten yeni bir standarttır. Standart, kimlik doğrulama devri siteler arasında, kullanıcı verilerinin aralarında paylaşılmasına izin verir. Bilindiği gibi Uygulama sırasında yanlış yapılandırılmış çok sayıda siteye yayılmış ciddi güvenlik açıkları yaratacak şekilde.
Bu arada XSS en çok kullanılanlardan biridir sık sık istismar edilen ve en eski Web güvenlik açıkları. Bir saldırganın, veri hırsızlığı ve daha fazlası için bir web sitesi ziyaretçisinin tarayıcısında komut dosyaları çalıştırmak amacıyla meşru bir web sayfasına veya uygulamaya kötü amaçlı kod enjekte etmesine olanak tanır.
Salt’ın araştırma başkan yardımcısı Yaniv Balmas, Dark Reading’e yaptığı açıklamada, ikisini birleştiren bir saldırı vektörünü başarıyla kullanan bir saldırganın “kurbanla aynı izinlere ve işlevselliğe sahip olacağını ve dolayısıyla riskin normal bir sistem kullanıcısının yapabileceği şeye paralel olacağını” söyledi.
Salt Labs, Business Insider sitesinde 20 Mart’ta bu açığı keşfetti ve derhal şirkete bildirdi, şirket de 30 Mart’a kadar bu açığı kapattı. Hotjar açığı 17 Nisan’da keşfedildi ve ifşa edildikten iki gün sonra bu açığı kapattı.
Ancak Salt araştırmacıları, saldırganların OAuth ve XSS’in bu kombinasyonunu istismar etmesine olanak tanıyan kusurların muhtemelen diğer sitelerde tespit edilmeden gizlendiğini ve böylece milyonlarca şüphesiz kullanıcıyı potansiyel hesap ele geçirme tehdidine maruz bıraktığını düşünüyor.
Balmas, “Bunun çok yaygın bir sorun olduğuna inanıyoruz ve büyük ihtimalle diğer birçok çevrimiçi hizmet de aynı sorundan muzdariptir” diyor.
Hotjar Saldırısı
XSS’in uzun zamandır var olması göz önüne alındığında, çoğu web sitesinde bu güvenlik açığını istismar eden saldırılara karşı yerleşik korumalar vardır. Salt araştırmacıları, hem Hotjar hem de Business Insider web sitesinde iki ayrı örnekte OAuth kullanarak bunların etrafından dolaşmayı başardılar.
İlkinde araştırmacılar, gizli bir belirteç almak için Google’a yönlendiren Hotjar’ın sosyal oturum açma yönünü manipüle ettiler. OAuth Hotjar’da kimlik doğrulamayı tamamlamak için. Bu belirteç, JavaScript kodunun okuyabileceği gizli kod içeren bir URL’dir ve bir XSS açığı oluşturur.
“XSS’i bu yeni sosyal oturum açma özelliğiyle birleştirmek ve çalışan bir sömürü elde etmek için, yeni bir pencerede yeni bir OAuth oturum açma akışı başlatan ve ardından belirteci bu pencereden okuyan bir JavaScript kodu kullanıyoruz,” diye yazıyor gönderiye göre. “Bu yöntemle, JavaScript kodu Google’a yeni bir sekme açar ve Google kullanıcıyı otomatik olarak geri yönlendirir [the Hotjar site] URL’deki OAuth koduyla.”
Kod, yeni sekmeden URL’yi okur ve OAuth kimlik bilgilerini çıkarır. Saldırganlar bir kurbanın koduna sahip olduklarında, Hotjar’da yeni bir oturum açma akışı başlatabilir, kodlarını kurbanın koduyla değiştirebilir ve tam bir hesap ele geçirilmesine ve böylece Hotjar tarafından toplanan tüm kişisel verilerin potansiyel olarak ifşa edilmesine yol açabilirler.
Mobil Girişleri Kullanma
Araştırmacılar ayrıca, özellikle kullanıcıyı doğrulamak için yeni bir Web tarayıcısı açan mobil kimlik doğrulaması aracılığıyla Business Insider web sitesinin koduna entegre edilmiş sosyal oturum açma özelliğini kullanmayı başardılar. Kullanıcı Web’de kimlik doğrulamasını tamamladıktan sonra, Web’den mobil siteye gönderilen parametreler olarak kimlik bilgileriyle bir uç noktaya yönlendirilir.
“Yalnızca mobil uygulama kullanarak kimlik doğrulamayı desteklemek için oluşturulan bu uç nokta, XSS’e karşı savunmasızdır,” diyor gönderiye göre. Bu nedenle, bir saldırgan URL’den kimlik bilgilerini okuyabilirse, hesap ele geçirebilir.
“Yapmamız gereken şey, bir oturum açma akışı başlatan JavaScript kodu yazmak, token’ın URL’de görünür olmasını beklemek ve ardından bu URL’yi okumaktır,” diyor gönderide. “Bir kurban bu bağlantıya tıklarsa, kimlik bilgileri kötü amaçlı bir etki alanına iletilecektir.”
Hotjar ve Business Insider’da özel olarak bulunan kusurlar azaltılmış olsa da, diğer sitelerde istismar potansiyeli, sitenin yöneticilerin OAuth’u nasıl uyguladıkları konusunda dikkatli olmaları gerekirBalmas, benzer saldırı senaryolarında kullanılmaması için bu yöntemin kullanılmaması gerektiğini söylüyor.
“Her zaman olduğu gibi, herhangi bir yeni teknolojiyi uygularken, elbette güvenlik de dahil olmak üzere birçok şeyin dikkate alınması gerekir,” diyor. “Tüm olası seçenekleri göz önünde bulunduran sağlam bir uygulama güvenli olmalı ve bir saldırganın bu saldırı vektörünü kötüye kullanma fırsatına izin vermemelidir.”