{"id":1014906,"date":"2023-10-25T16:19:01","date_gmt":"2023-10-25T16:19:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/defectos-criticos-de-oauth-descubiertos-en-las-plataformas-grammarly-vidio-y-bukalapak\/"},"modified":"2023-10-25T16:19:06","modified_gmt":"2023-10-25T16:19:06","slug":"defectos-criticos-de-oauth-descubiertos-en-las-plataformas-grammarly-vidio-y-bukalapak","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/defectos-criticos-de-oauth-descubiertos-en-las-plataformas-grammarly-vidio-y-bukalapak\/","title":{"rendered":"Defectos cr\u00edticos de OAuth descubiertos en las plataformas Grammarly, Vidio y Bukalapak"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>25 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se han revelado fallas de seguridad cr\u00edticas en la implementaci\u00f3n de Open Authorization (OAuth) de servicios en l\u00ednea populares como Grammarly, Vidio y Bukalapak, bas\u00e1ndose en fallas anteriores descubiertas en Booking.[.]com y Expo.<\/p>\n

Las debilidades, ahora abordadas por las respectivas empresas luego de una divulgaci\u00f3n responsable entre febrero y abril de 2023, podr\u00edan haber permitido a actores maliciosos obtener tokens de acceso y potencialmente secuestrar cuentas de usuarios.<\/p>\n

OAuth es un est\u00e1ndar<\/a> eso se usa com\u00fanmente como un mecanismo de acceso entre aplicaciones, otorgando a sitios web o aplicaciones acceso a su informaci\u00f3n en otros sitios web, como Facebook, pero sin darles las contrase\u00f1as.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Cuando se utiliza OAuth para proporcionar autenticaci\u00f3n de servicios, cualquier violaci\u00f3n de seguridad puede provocar robo de identidad, fraude financiero y acceso a diversa informaci\u00f3n personal, incluidos n\u00fameros de tarjetas de cr\u00e9dito, mensajes privados, registros m\u00e9dicos y m\u00e1s, seg\u00fan el servicio espec\u00edfico que se est\u00e9 ofreciendo. “Atacado”, Aviad Carmel, investigador de Salt Security. dicho<\/a>.<\/p>\n

El problema identificado en Vidio se debe a la ausencia de verificaci\u00f3n del token, lo que significa que un atacante puede usar un token de acceso generado para otro. ID de aplicaci\u00f3n<\/a>un identificador aleatorio creado por Facebook para cada aplicaci\u00f3n o sitio web que se registra en su portal de desarrolladores.<\/p>\n

\"Defectos<\/a><\/div>\n

En un posible escenario de ataque, un actor de amenazas podr\u00eda crear un sitio web fraudulento que ofrezca una opci\u00f3n de inicio de sesi\u00f3n a trav\u00e9s de Facebook para recopilar los tokens de acceso y posteriormente usarlos contra Vidio.com (que tiene el ID de aplicaci\u00f3n 92356), permitiendo as\u00ed la apropiaci\u00f3n total de la cuenta. .<\/p>\n

La firma de seguridad API dijo que tambi\u00e9n descubri\u00f3 un problema similar con la verificaci\u00f3n de tokens en Bukalapak.com mediante el inicio de sesi\u00f3n de Facebook que podr\u00eda resultar en un acceso no autorizado a la cuenta.<\/p>\n

\"La<\/a><\/center><\/div>\n

En Grammarly, surgi\u00f3 que cuando los usuarios intentan iniciar sesi\u00f3n en sus cuentas usando la opci\u00f3n “Iniciar sesi\u00f3n con Facebook”, se env\u00eda una solicitud HTTP POST a auth.grammarly.[.]com para autenticarlos usando un c\u00f3digo secreto.<\/p>\n

Como resultado, si bien Grammarly no es susceptible a un ataque de reutilizaci\u00f3n de tokens como en el caso de Vidio y Bukalapak, es vulnerable a un tipo diferente de problema en el que la solicitud POST puede modificarse para sustituir el c\u00f3digo secreto con un token de acceso obtenido. desde el sitio web malicioso antes mencionado para obtener acceso a la cuenta.<\/p>\n

“Y al igual que con los otros sitios, la implementaci\u00f3n de Grammarly no realiz\u00f3 verificaci\u00f3n de token”, dijo Carmel, y agreg\u00f3 que “una apropiaci\u00f3n de cuenta le dar\u00eda a un atacante acceso a los documentos almacenados de la v\u00edctima”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n