Er zijn kritieke beveiligingsfouten onthuld in de Open Authorization (OAuth)-implementatie van populaire online diensten zoals Grammarly, Vidio en Bukalapak, voortbouwend op eerdere tekortkomingen die bij Booking aan het licht kwamen.[.]com en Expo.
De zwakke punten, die nu door de respectieve bedrijven zijn aangepakt na verantwoorde openbaarmaking tussen februari en april 2023, hadden kwaadwillende actoren in staat kunnen stellen toegangstokens te verkrijgen en mogelijk gebruikersaccounts te kapen.
OAuth is een standaard die vaak wordt gebruikt als mechanisme voor toegang tussen applicaties, waarbij websites of applicaties toegang krijgen tot hun informatie op andere websites, zoals Facebook, maar zonder hen de wachtwoorden te geven.
“Wanneer OAuth wordt gebruikt om serviceauthenticatie te bieden, kan elke inbreuk op de beveiliging leiden tot identiteitsdiefstal, financiële fraude en toegang tot verschillende persoonlijke informatie, waaronder creditcardnummers, privéberichten, medische dossiers en meer, afhankelijk van de specifieke service die wordt aangeboden.” aangevallen”, zei Salt Security-onderzoeker Aviad Carmel.
Het in Vidio geïdentificeerde probleem komt voort uit het ontbreken van tokenverificatie, wat betekent dat een aanvaller een toegangstoken kan gebruiken dat is gegenereerd voor een andere app-ID, een willekeurige identificatie die door Facebook is gemaakt voor elke applicatie of website die wordt geregistreerd in zijn ontwikkelaarsportal.
In een mogelijk aanvalsscenario zou een bedreigingsacteur een frauduleuze website kunnen creëren die een aanmeldingsoptie via Facebook biedt om de toegangstokens te verzamelen en deze vervolgens te gebruiken tegen Vidio.com (die de app-ID 92356 heeft), waardoor volledige accountovername mogelijk wordt. .
Het API-beveiligingsbedrijf zei dat het ook een soortgelijk probleem ontdekte met tokenverificatie op Bukalapak.com via Facebook-login, wat zou kunnen resulteren in ongeautoriseerde accounttoegang.
Op Grammarly kwam naar voren dat wanneer gebruikers proberen in te loggen op hun accounts met de optie “Aanmelden met Facebook”, er een HTTP POST-verzoek wordt verzonden naar auth.grammarly[.]com om ze te authenticeren met een geheime code.
Als gevolg hiervan is Grammarly, hoewel het niet vatbaar is voor een aanval op hergebruik van tokens, zoals in het geval van Vidio en Bukalapak, toch kwetsbaar voor een ander soort probleem waarbij het POST-verzoek kan worden gewijzigd om de geheime code te vervangen door een verkregen toegangstoken. van de bovengenoemde kwaadaardige website om toegang te krijgen tot het account.
“En net als bij de andere sites voerde de Grammarly-implementatie geen tokenverificatie uit”, zei Carmel, eraan toevoegend: “een accountovername zou een aanvaller toegang geven tot de opgeslagen documenten van het slachtoffer.”
