Bugün, Tuz Güvenliği Salt Labs tarafından Expo çerçevesindeki birkaç kritik güvenlik açığının ayrıntılarını veren yeni tehdit araştırmasını yayınladı. Expo tarafından kullanılan ve Facebook, Google, Apple ve Twitter hesapları aracılığıyla Expo çerçevesini kullanarak bir çevrimiçi hizmette oturum açan tüm kullanıcıları etkileme potansiyeline sahip Açık Yetkilendirme (OAuth) sosyal oturum açma işlevinin uygulanmasında kusurlar bulundu. . Bu bulgular, bu yılın başlarında Booking.com’da ortaya çıkarılan güvenlik açıklarının ardından Salt Labs OAuth kaçırma serisindeki ikinci araştırma raporuna işaret ediyor.
Sorun, CVE-2023-28131 ile atanmıştır.
Expo araştırması, kuruluşların üçüncü taraf çerçeveler tarafından sunulan API güvenlik açıklarına nasıl maruz kalabileceğini ve bu durumda yüzlerce site ve uygulamanın uygulanmasını potansiyel olarak etkileyebileceğini göstermektedir. Bulgular, bu çerçeveyi kullanan hizmetlerin kimlik bilgilerinin sızmasına açık olduğunu ve müşterilerin hesaplarında büyük ölçekli hesapların ele geçirilmesine (ATO) izin vererek, kötü aktörlerin şunları yapmasına olanak tanıdığını gösterdi:
- Hesapları üzerinde tam kontrol elde etmek için platform kullanıcılarını manipüle edin
- Siteler tarafından dahili olarak saklanan Kişisel Tanımlanabilir Bilgileri (PII) ve diğer hassas kullanıcı verilerini sızdırmak
- Facebook, Google, Twitter ve diğer çevrimiçi platformlarda güvenliği ihlal edilmiş kullanıcı adına potansiyel olarak eylemler gerçekleştirme
- Kullanıcı kimliklerini çalın, mali dolandırıcılık yapın ve kredi kartı bilgilerine erişim elde edin
Salt Security’nin araştırma kolu ve API güvenlik eğitimi için halka açık bir forum olan Salt Labs, API güvenlik açıklarını keşfetti ve güvenlik açığı analizini sağladı. Güvenlik açıklarını keşfettikten sonra Salt Labs araştırmacıları, Expo ile koordineli ifşa uygulamalarını izledi. Expo, Tuz Laboratuvarlarını yayınladı CVE-2023-28131 ve tüm sorunları hızla düzeltti. Bir Expo soruşturması, bu kusurların vahşi ortamda istismar edildiğine dair hiçbir kanıt bulamadı.
“Güvenlik açıkları herhangi bir web sitesinde olabilir – önemli olan yanıttır” dedi Yaniv Balmas, Araştırmadan Sorumlu Başkan Yardımcısı, Tuz Güvenliği. “OAuth’un hızla endüstri standardı haline gelmesiyle, kötü niyetli kişiler, OAuth içindeki güvenlik açıklarını bulmak için yorulmadan iş başında. OAuth’un yanlış uygulanması, hem şirketler hem de müşteriler üzerinde önemli bir etkiye sahip olabilir, çünkü bunlar değerli verileri açığa çıkarır ve kuruluşlar platformlarında var olan güvenlik risklerinin nabzını tutmak zorundadır.”
Mobil uygulamalar geliştirmek için bir çerçeve olarak, Fuar geliştiricilerin tek bir kod tabanı kullanarak iOS, Android ve web platformları için yüksek kaliteli yerel uygulamalar oluşturmasına olanak tanır. Geliştirme sürecini basitleştiren ve hızlandıran bir dizi araç, kitaplık ve hizmet sağlar.
Salt Labs araştırmacıları, Expo tarafından kullanılan ve OAuth adlı endüstri standardı bir protokolle uygulanan sosyal oturum açma işlevinde güvenlik açıkları keşfetti. Web siteleri ve web hizmetlerinde popüler olan OAuth, kullanıcıların daha geleneksel kullanıcı kaydı ve kullanıcı adı/parola kimlik doğrulaması yerine sosyal medya hesaplarını kullanarak sitelere erişmek için “tek tıklamayla” oturum açmayı kullanmasına olanak tanır.
OAuth, kullanıcılara web siteleriyle etkileşimde çok daha kolay bir deneyim sağladığı için büyük ölçüde popülerdir. Bununla birlikte, karmaşık teknik arka ucu, istismar potansiyeli olan güvenlik açıkları oluşturan uygulama hatalarına yol açabilir. Salt Labs araştırmacıları, Expo sitesindeki OAuth dizisindeki belirli adımları manipüle ederek oturumları ele geçirebileceklerini ve hesap devralma (ATO) gerçekleştirebileceklerini keşfettiler; kredi kartı numaraları, özel mesajlar ve sağlık kayıtları gibi kullanıcı verilerini çalmak; ve kullanıcılar adına eylemler gerçekleştirmek.
Expo kullanan yüzlerce şirketi etkileme potansiyeline sahip olan Salt Labs, bu güvenlik açığını bir düzine programlama dilinde ücretsiz kodlama dersleri sunan popüler bir çevrimiçi platform olan Codecademy.com’da keşfetti. Google, LinkedIn, Amazon, Spotify ve diğerleri dahil olmak üzere şirketler siteyi çalışanların eğitimine yardımcı olmak için kullanıyor ve site ~ 100 milyon kullanıcıya sahip. Salt Labs ekibi, hesapların tam kontrolünü ele geçirmek için Codecademy sitesindeki Expo güvenlik açığından yararlanmayı başardı.