Grammarly, Vidio ve Bukalapak gibi popüler çevrimiçi hizmetlerin Açık Yetkilendirme (OAuth) uygulamasında, Booking’de ortaya çıkarılan önceki eksikliklere dayanarak kritik güvenlik kusurları ortaya çıktı[.]com ve Expo.
Şubat ve Nisan 2023 arasındaki sorumlu açıklamanın ardından ilgili şirketler tarafından ele alınan zayıf noktalar, kötü niyetli aktörlerin erişim belirteçleri elde etmesine ve potansiyel olarak kullanıcı hesaplarını ele geçirmesine olanak tanımış olabilir.
OAuth, genellikle uygulamalar arası erişim mekanizması olarak kullanılan, web sitelerine veya uygulamalara, Facebook gibi diğer web sitelerindeki bilgilerine şifre vermeden erişim izni veren bir standarttır.
“Hizmet kimlik doğrulaması sağlamak için OAuth kullanıldığında, içindeki herhangi bir güvenlik ihlali, kimlik hırsızlığına, finansal dolandırıcılığa ve sunulan hizmete bağlı olarak kredi kartı numaraları, özel mesajlar, sağlık kayıtları ve daha fazlası dahil olmak üzere çeşitli kişisel bilgilere erişime yol açabilir. Salt Güvenlik araştırmacısı Aviad Carmel, “saldırıya uğradı” dedi.
Vidio’da tanımlanan sorun, belirteç doğrulamasının bulunmamasından kaynaklanıyor; bu, bir saldırganın, geliştirici portalına kaydolan her uygulama veya web sitesi için Facebook tarafından oluşturulan rastgele bir tanımlayıcı olan başka bir Uygulama Kimliği için oluşturulan erişim belirtecini kullanabileceği anlamına geliyor.
Olası bir saldırı senaryosunda, bir tehdit aktörü, erişim belirteçlerini toplamak ve ardından bunları Vidio.com’a (Uygulama Kimliği 92356’ya sahip) karşı kullanmak için Facebook aracılığıyla oturum açma seçeneği sunan hileli bir web sitesi oluşturabilir ve böylece tüm hesabın ele geçirilmesine olanak sağlayabilir. .
API güvenlik firması, Bukalapak.com’da Facebook girişi yoluyla token doğrulamada yetkisiz hesap erişimine yol açabilecek benzer bir sorun keşfettiğini söyledi.
Grammarly’de, kullanıcılar “Facebook ile giriş yap” seçeneğini kullanarak hesaplarına giriş yapmaya çalıştıklarında auth.grammarly’ye bir HTTP POST isteği gönderildiği ortaya çıktı.[.]com’a giderek gizli bir kod kullanarak kimliklerini doğrulayın.
Sonuç olarak, Grammarly, Vidio ve Bukalapak örneğinde olduğu gibi token yeniden kullanım saldırısına karşı hassas olmasa da, POST isteğinin, gizli kodu elde edilen bir erişim tokenıyla değiştirmek üzere değiştirilebildiği farklı türde bir soruna karşı savunmasızdır. Hesaba erişim sağlamak için yukarıda belirtilen kötü amaçlı web sitesinden.
Carmel, “Ve diğer sitelerde olduğu gibi Grammarly uygulaması da jeton doğrulaması yapmadı” dedi ve şunu ekledi: “Hesabın ele geçirilmesi, bir saldırganın kurbanın saklanan belgelerine erişmesine olanak tanır.”