Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
Token Doğrulamasını Atlamak Bilgisayar Korsanlarına Açık Kapıdır
Prajeet Nair (@prajeetspeaks) •
27 Ekim 2023
Salt Security’den araştırmacılar, sosyal medya tek oturum açma standardı OAuth’un, bilgisayar korsanlarının yetkisiz erişim elde etmek için kullanabileceği bir uygulama zayıflığına sahip olduğunu söylüyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
OAuth, müşterilerin yeni, özel bir kimlik bilgisi oluşturmak yerine web sitelerine erişmek için Facebook veya Google kimlik bilgilerini (veya diğer üçüncü taraf kimlik bilgilerini) kullanmalarına olanak tanıyan, oturum açma istemlerinin ardındaki protokoldür. Güvenliği kritik bir uygulama mekanizmasına bağlıdır: Kullanıcının hizmete erişiminin olması gerektiğini doğrulamak Facebook veya Google’a değil, web sitesine bağlıdır.
Salı günü yayınlanan bir blog yazısında Salt Security, yapay zeka destekli Grammarly yazma uygulaması da dahil olmak üzere bir avuç sitenin doğrulama adımını atladığını ve araştırmacıların hesap erişimi elde etmek için kimlik bilgilerini geri dönüştürmesine olanak tanıdığını söyledi.
“Sadece bu üç site, fikrimizi kanıtlamamız için yeterli ve ek hedefler aramamaya karar verdik, ancak bu yazıda ayrıntılarıyla anlattığımız saldırıya karşı 1000’lerce başka web sitesinin de savunmasız olmasını ve milyarlarca ek internet kullanıcısının ortaya çıkmasını bekliyoruz. her gün risk altında” diye yazdı firma. Şirket bu yılın başlarında, birçok çevrimiçi hizmet tarafından OAuth’u uygulamak için kullanılan Expo çerçevesindeki kusurları açıkladı (bkz.: OAuth Kusuru Sosyal Medya Girişlerini Hesapların Devralınmasına Maruz Bıraktı).
Sosyal oturum açma, bir kullanıcının birçok web sitesine yayılmış birçok hesaba sahip olacağını varsayar. Her web sitesi için bir oturum açma kimlik bilgisi oluşturmak yerine, kullanıcıların bir simge olarak iletilen kimlik bilgilerini sağlamak için üçüncü bir tarafa başvurması amaçlanıyor. Kullanıcılar birden fazla web sitesi için sosyal oturum açmayı kullandıklarından, web siteleri belirtecin geçerli olup olmadığını kendileri için doğrular. OAuth standardına göre bunu, jeton kimliğinin doğru web sitesiyle ilişkili olduğunu onaylayan veya reddeden bir API çağırarak yapmaları gerekiyor.
Bu, sosyal oturum açma sunan bir çevrimiçi hizmet oluşturabilecek kötü aktörlere açık bir alan bırakıyor. Bu şekilde, çevrimiçi hizmetleri için oluşturulan geçerli jetonları toplayabilir ve bunları kurban olarak başka bir sitede oturum açmak için kullanabilirler.
Salt araştırmacısı Aviad Carmel, sosyal oturum açmayı kabul eden her web sitesinin token kimliğini doğruladığı sürece saldırının işe yaramayacağını yazdı.
Carmel, bunu fark etmeyen üç site gördüğünü söylüyor: Endonezya video yayın hizmeti Vidio, Endonezya’nın büyük bir e-ticaret platformu olan Bukalapak ve Grammarly.
Bu, Carmel’in kötü amaçlı YourTimePlanner.com sitesi için oluşturulan bir jetonu kullanarak Vido’da oturum açmak için kullanmasına olanak sağladı. Vidio, Salt Security’ye “güvenlik açığının esas olarak Facebook OAuth uygulamasıyla ilgili olduğunu” ve “bir Facebook OAuth uygulamasından diğerine geçiş nedeniyle yalnızca belirli bir süre boyunca aktif olduğunu” söyledi. Bukalapak, Salt’a sorunun çözüldüğünü ve oturum açma işlemleri için tek kullanımlık şifrelerin etkinleştirildiğini söyledi.
Carmel, Grammarly’nin oturum açma sürecinin hacklemek için ek bir adım gerektirdiğini, çünkü bir jetonu kabul etmek yerine daha sonra bir jetonla değiştirilecek kodu istediğini söylüyor. Carmel, Grammarly’ye OAuth’tan türetilmiş yanıtın kodlanmasında hafif bir değişiklik yaparak Grammarly’yi belirteçleri önceden kabul etmeye zorlayabileceğini söyledi. Yardımlı yazma sağlayıcısı Salt’a güvenlik açığını giderdiğini söyledi.