Web sitelerinin ve uygulamaların Facebook, Google, Apple, Twitter ve daha fazlasına bağlanmak için kullandığı Açık Yetkilendirme (OAuth) standardının uygulanmasındaki bir güvenlik açığı, saldırganların kullanıcı hesaplarını ele geçirmesine, hassas bilgilere erişmesine ve/veya sızdırmasına ve hatta mali dolandırıcılık yapmak.
OAuth, bir kullanıcı bir web sitesinde oturum açtığında ve birçok sitenin izin vermek için kullandığı bir özellik olan “Facebook ile oturum aç” veya “Google ile oturum aç” gibi başka bir sosyal medya hesabıyla oturum açmak için bir bağlantıya tıkladığında devreye girer. platformlar arası kimlik doğrulama. API güvenlik firması Salt Security’den bir ekip, iOS, Android ve diğer Web platformları için yerel mobil uygulamalar geliştirmeye yönelik açık kaynaklı bir çerçeve olan Expo’daki OAuth uygulamasında CVE-2023-28131 olarak izlenen kusuru keşfetti. kod tabanı.
Araştırmacılar, 24 Mayıs’ta yayınlanan bir blog yazısında, özellikle kusurun, çerçeveyi kullanan bir çevrimiçi hizmete giriş yapmak için çeşitli ve sosyal medya hesaplarını kullanan tüm kullanıcıları potansiyel olarak etkileyebileceğini ortaya çıkardı.
Güvenlik açığı, Salt araştırmacılarının çevrimiçi bir platformun OAuth uygulamasında bulduğu ikinci ve daha etkili güvenlik açığıdır ve bu güvenlik açığı, güvenli bir şekilde uygulanması zor bir standart olduğunu kanıtlamaktadır. Mart ayında Salt, Booking.com’un OAuth uygulamasında, saldırganların kullanıcı hesaplarını ele geçirmesine ve kişisel veya ödeme kartı verilerine ilişkin tam görünürlük elde etmesine ve ayrıca web sitesinin kardeş platformundaki hesaplarda oturum açmasına izin verebilecek bir kusur keşfetti. kayak.com.
OAuth Uygulamasıyla Üçüncü Taraf Riski
Salt güvenlik araştırmacısı Aviad Carmel, Dark Reading’e verdiği demeçte, Expo’daki kusurun, Expo’nun geniş kurulum tabanı nedeniyle Booking.com kusurundan çok daha geniş bir etkisi olabilirdi.
“Bu ikinci OAuth güvenlik açığı, yüzlerce şirket tarafından kullanılan üçüncü taraf bir çerçevede keşfedildiğinden, potansiyel risk çok daha fazlaydı” diyor. “Yüzlerce web sitesi ve uygulamanın OAuth uygulamalarını etkileyebilirdi.”
Ayrıca OAuth, modern hizmet tabanlı mimarilerde ve gelişmekte olan yapay zeka (AI) tabanlı platformlarda fiili bir kimlik doğrulama standardı haline geliyor. Bu, doğası gereği, OAuth uygulamalarındaki tüm güvenlik açıklarının geniş bir erişime sahip olduğu anlamına gelir. Aslında, 24 Mayıs’ta açıklanan diğer bir araştırmada, hizmet olarak yazılım (SaaS) güvenlik firması DoControl, üçüncü taraf AI uygulamalarının yüzde 24’ünün riskli OAuth izinleri gerektirdiğini ortaya çıkardı.
Expo, CVE-2023-28131’i Salt araştırmacılarının sorunu işaretledikten sonra birkaç saat içinde yama yaptı ve platformu sürdüren geliştiriciler, müşterilerin riski tamamen azaltmak için Expo dağıtımlarını güncellemeleri konusundaki kusuru ayrıntılandıran bir blog gönderisinde tavsiye ettiler.
Bununla birlikte, artan OAuth güvenlik açıkları listesi ve vurguladıkları standardı doğru şekilde yapılandırmanın genel karmaşıklığı, daha fazla web sitesi ve uygulamanın yüzeylerinin altında gizlenen keşfedilmemiş kusurlara sahip olabileceğini gösteriyor.
Bulgular ayrıca, üçüncü taraf çerçeveler genellikle onların haberi olmadan ortamlarına API güvenlik açıkları getirdiğinde kuruluşların nasıl olumsuz ve geniş çapta etkilendiğini de gösteriyor. Araştırmacılara göre bu, müşterileri kimlik bilgilerinin sızması veya hesabın ele geçirilmesi riskine sokar ve tehdit aktörlerine daha fazla saldırı başlatmak için bir platform sağlar.
Expo Kusurundan Yararlanma
Bir kullanıcı, bir sosyal medya hesabıyla A Sitesinde oturum açmak için OAuth etkin bir bağlantıya tıkladığında, A Sitesi Facebook, Google veya hangi güvenilir hesap kullanılıyorsa yeni bir pencere açacaktır. Kullanıcı A Sitesini ilk kez ziyaret ediyorsa, sosyal medya sayfası A Sitesi ile ayrıntıları paylaşmak için izin isteyecektir. Kullanıcı bu süreçten daha önce geçtiyse, sosyal medya sitesi kullanıcının A Sitesinde kimliğini otomatik olarak doğrulayacaktır.
Salt Labs araştırmacıları, bir düzine programlama dilinde ücretsiz kodlama dersleri sunan çevrimiçi bir platform olan Codeacademy.com’da CVE-2023-28131’i keşfetti. Google, LinkedIn, Amazon, Spotify ve diğerleri dahil olmak üzere şirketler siteyi çalışanların eğitimine yardımcı olmak için kullanıyor ve sitenin yaklaşık 100 milyon kullanıcısı var. Araştırmacılar, sonunda Codeacademy.com hesaplarının tam kontrolünü ele geçirmek için kusurdan yararlandıklarını söylediler.
Carmel, Dark Reading’e, Expo içindeki OAuth uygulamasındaki güvenlik açığının sosyal oturum açma süreciyle ilgili olduğunu söylüyor. “Kullanıcılar Facebook veya Google kimlik bilgilerini kullanarak oturum açtıklarında, Expo bir aracı görevi görür ve kullanıcının kimlik bilgilerini hedef web sitesine aktarır” diyor.
Carmel, saldırganların bu akışı yakalayarak ve Expo’yu manipüle ederek kullanıcı kimlik bilgilerini amaçlanan hedef yerine kötü amaçlı bir etki alanına göndererek CVE-2023-28131’den yararlanmış olabileceğini açıklıyor.
Saldırganlar, kullanıcıların mali hesaplarına giriş yapmak için kimlik bilgilerini kullanırsa, bu istismar kişisel verilerin sızmasına ve hatta mali dolandırıcılığa yol açabilirdi. Carmel, tehdit aktörlerinin sosyal medya hesaplarında kullanıcılar adına potansiyel olarak eylemler gerçekleştirmiş olabileceğini söylüyor.
OAuth Neden Zor?
OAuth’un popülaritesi, sık kullanılan web siteleriyle etkileşim kurarken insanlara çok daha sorunsuz bir kullanıcı deneyimi sunabilmesinden kaynaklanmaktadır. Ancak araştırmacılar, uygulama hatalarına yol açabilecek ve istismar için olgunlaşmış güvenlik açıkları yaratabilecek karmaşık, teknik bir arka uca sahip olduğunu söyledi.
Carmel, bir OAuth uygulamasının güvenliğini sağlamak için, bir kuruluşun OAuth’un nasıl çalıştığını ve hangi uç noktaların kullanıcı girdilerini alabildiğini anlaması gerektiğini söylüyor.
“Saldırganlar bu girdileri manipüle etmeye çalışabilir, bu nedenle her birini doğrulamak çok önemlidir” diye tavsiyede bulunuyor. “Bu, önceden belirlenmiş değerlerin bir beyaz listesini tutarak veya diğer katı doğrulama yöntemlerini uygulayarak elde edilebilir.”
Carmel, OAuth uygulamalarının ne kadar karmaşık olduğunun ortaya çıkması nedeniyle, kuruluşların OAuth uygulamalarını etkili bir şekilde güvence altına almalarına yardımcı olmak için gelecekte bir en iyi uygulama kılavuzu yayınlamayı planladığını ekliyor.