26/10/23
Исследователи компании Salt Security выявили уязвимости в алгоритме OAuth, позволяющем веб-сайтам и приложениям получать доступ к информации из другого сервиса всего в один клик, без необходимости ввода пароля. Самое популярное применение этого стандарта — авторизация на сторонних платформах через социальные сети. Об этом пишет Securitylab.
Для авторизации через социальные сети используется специальный «токен», который подтверждает нашу идентичность. Однако, как выяснила Salt Labs, не все сайты корректно его проверяют. В ходе исследования специалистам удалось «подменить» токен и получить доступ к чужим аккаунтам на нескольких платформах. Такой способ взлома назвали «Pass-The-Token Attack» или «атакой путем передачи токена».
«Уязвимость могла затронуть почти миллиард учетных записей на разных сайтах», — предупреждают исследователи.
Баг потенциально позволяет злоумышленникам получить доступ к аккаунтам десятков сервисов, включая банковские и платежные системы. Среди примеров выделяют Grammarly, Vidio и Bukalapak.
Vidio, платформа для видеотрансляций, которая насчитывает более 100 млн активных пользователей, предлагает широкий спектр контента. Здесь был обнаружен баг OAuth при входе через Facebook*.
«Так как сайт Vidio.com не проверял токены (об этом должны были позаботиться разработчики, а не сама OAuth), злоумышленники могли взаимодействовать с API, подставляя ключ, созданный для другого сервиса. Подменный токен в сочетании с идентификатором приложения позволили исследовательской группе Salt Labs выдать себя за одного из реальных пользователей Vidio. Это могло бы привести к массовому захвату контроля над тысячами аккаунтов», — подчеркивается в отчете.
В Bukalapak, одной из крупнейших торговых онлайн-площадок в Индонезии с аудиторией более 150 млн человек, проблема возникла при регистрации через соцсети. Сайт анализировал токены некорректно, поэтому специалисты так же без труда вставили код с другого сайта и получили доступ к учетным данным одного из покупателей.
Grammarly, инструмент для проверки и коррекции текста на базе ИИ, который используется более чем 30 млн человек ежедневно, столкнулся с идентичной проблемой.
«OAuth успел стать одним из лидеров в сфере защиты приложений и продолжает набирать популярность как основной протокол для авторизации и аутентификации», — отметил Янив Балмас, вице-президент по исследованиям в Salt Security. «Работа Salt Labs наглядно показывает, какие риски несёт за собой некорректная реализация OAuth для компаний и их клиентов.»
Отчет Salt Security, посвященный безопасности API веб-сервисов, выявил тревожный рост числа кибератак в первом квартале 2023 года. За последние шесть месяцев количество инцидентов увеличилось на 400%. 43% опрошенных пользователей выразили глубокую озабоченность по поводу безопасности своих аккаунтов и риска их несанкционированного захвата.
* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.
