Se han revelado fallas de seguridad críticas en la implementación de Open Authorization (OAuth) de servicios en línea populares como Grammarly, Vidio y Bukalapak, basándose en fallas anteriores descubiertas en Booking.[.]com y Expo.
Las debilidades, ahora abordadas por las respectivas empresas luego de una divulgación responsable entre febrero y abril de 2023, podrían haber permitido a actores maliciosos obtener tokens de acceso y potencialmente secuestrar cuentas de usuarios.
OAuth es un estándar eso se usa comúnmente como un mecanismo de acceso entre aplicaciones, otorgando a sitios web o aplicaciones acceso a su información en otros sitios web, como Facebook, pero sin darles las contraseñas.
“Cuando se utiliza OAuth para proporcionar autenticación de servicios, cualquier violación de seguridad puede provocar robo de identidad, fraude financiero y acceso a diversa información personal, incluidos números de tarjetas de crédito, mensajes privados, registros médicos y más, según el servicio específico que se esté ofreciendo. “Atacado”, Aviad Carmel, investigador de Salt Security. dicho.
El problema identificado en Vidio se debe a la ausencia de verificación del token, lo que significa que un atacante puede usar un token de acceso generado para otro. ID de aplicaciónun identificador aleatorio creado por Facebook para cada aplicación o sitio web que se registra en su portal de desarrolladores.
En un posible escenario de ataque, un actor de amenazas podría crear un sitio web fraudulento que ofrezca una opción de inicio de sesión a través de Facebook para recopilar los tokens de acceso y posteriormente usarlos contra Vidio.com (que tiene el ID de aplicación 92356), permitiendo así la apropiación total de la cuenta. .
La firma de seguridad API dijo que también descubrió un problema similar con la verificación de tokens en Bukalapak.com mediante el inicio de sesión de Facebook que podría resultar en un acceso no autorizado a la cuenta.
En Grammarly, surgió que cuando los usuarios intentan iniciar sesión en sus cuentas usando la opción “Iniciar sesión con Facebook”, se envía una solicitud HTTP POST a auth.grammarly.[.]com para autenticarlos usando un código secreto.
Como resultado, si bien Grammarly no es susceptible a un ataque de reutilización de tokens como en el caso de Vidio y Bukalapak, es vulnerable a un tipo diferente de problema en el que la solicitud POST puede modificarse para sustituir el código secreto con un token de acceso obtenido. desde el sitio web malicioso antes mencionado para obtener acceso a la cuenta.
“Y al igual que con los otros sitios, la implementación de Grammarly no realizó verificación de token”, dijo Carmel, y agregó que “una apropiación de cuenta le daría a un atacante acceso a los documentos almacenados de la víctima”.
About the Author
