0
0
Uma vulnerabilidade na implementação do padrão Open Authorization (OAuth) que sites e aplicativos usam para se conectar ao Facebook, Google, Apple, Twitter e muito mais pode permitir que invasores assumam contas de usuários, acessem e/ou vazem informações confidenciais e até cometam fraudes financeiras.
O OAuth entra em ação quando um usuário faz login em um site e clica em um link para fazer login com outra conta de mídia social, como “Entrar com o Facebook” ou “Entrar com o Google” — um recurso que muitos sites usam para permitir a autenticação entre plataformas. Uma equipe da Salt Labs, da empresa de segurança de API Salt Security, descobriu a falha, rastreada como CVE-2023-28131, na implementação OAuth na Expo, uma estrutura de código aberto para desenvolver aplicativos móveis nativos para iOS, Android e outras plataformas da Web usando uma única base de código.
Especificamente, a falha potencialmente pode afetar quaisquer usuários que usam várias contas de mídia social para fazer login em um serviço online que usa a estrutura, revelaram os pesquisadores em uma postagem de blog publicada em 24 de maio.
A vulnerabilidade é a segunda – e mais impactante – que os pesquisadores do Salt encontraram na implementação do OAuth em uma plataforma online, que está se mostrando um padrão complicado de implementar com segurança. Em março, a Salt descobriu uma falha na implementação do OAuth .com Booking, que poderia ter permitido que invasores assumissem contas de usuários e obtivessem visibilidade total de seus dados pessoais ou de cartão de pagamento, além de fazer login em contas na plataforma irmã do site, a Kayak.com.
Risco de terceiros com a implementação do OAuth
A falha na Expo poderia ter tido um impacto muito maior do que a falha Booking.com, por causa da ampla base de instalação da Expo, disse Aviad Carmel, pesquisador de segurança da Salt, ao Dark Reading.
“Como essa segunda vulnerabilidade OAuth foi descoberta em uma estrutura de terceiros usada por centenas de empresas, a exposição potencial era muito maior”, diz ele. “Isso pode ter impactado as implementações OAuth de centenas de sites e aplicativos.”
Além disso, o OAuth está se tornando um padrão de autenticação de fato em arquiteturas modernas baseadas em serviços, bem como em plataformas emergentes baseadas em inteligência artificial (IA). Isso significa inerentemente que quaisquer vulnerabilidades em implementações OAuth têm um amplo alcance. Na verdade, em outra pesquisa revelada em 24 de maio, a empresa de segurança de software como serviço (SaaS) DoControl revelou que 24% dos aplicativos de IA de terceiros exigem permissões OAuth arriscadas.
A Expo corrigiu o CVE-2023-28131 poucas horas depois que os pesquisadores da Salt sinalizaram o problema, e os desenvolvedores que mantêm a plataforma recomendaram em uma postagem de blog detalhando a falha de que os clientes atualizam suas implantações da Expo para mitigar totalmente o risco.
No entanto, a lista crescente de vulnerabilidades OAuth e a complexidade geral de configurar corretamente o padrão que eles destacam sugerem que mais sites e aplicativos podem ter falhas não descobertas à espreita sob sua superfície.
As descobertas também demonstram como as empresas são afetadas de forma adversa e ampla quando estruturas de terceiros introduzem vulnerabilidades de API em seu ambiente, muitas vezes sem que elas saibam. Isso coloca os clientes em risco de vazamentos de credenciais ou tomada de conta e dá aos agentes de ameaças uma plataforma a partir da qual lançam novos ataques, disseram os pesquisadores.
Explorando a falha da Expo
Quando um usuário clica em um link habilitado para OAuth para fazer login no Site A com uma conta de mídia social, o Site A abrirá uma nova janela para o Facebook, Google ou qualquer conta confiável que esteja sendo usada. Se for a primeira vez que o usuário visita o Site A, a página de mídia social pedirá permissão para compartilhar detalhes com o Site A. Se o usuário já passou pelo processo antes, o site de mídia social autenticará automaticamente o usuário no Site A.
Os pesquisadores da Salt Labs descobriram o CVE-2023-28131 em Codeacademy.com, uma plataforma online que oferece aulas de codificação gratuitas em uma dúzia de linguagens de programação. Empresas como Google, LinkedIn, Amazon, Spotify e outras usam o site para ajudar a treinar funcionários, e o site tem cerca de 100 milhões de usuários. Os pesquisadores acabaram explorando a falha para obter controle completo de Codeacademy.com contas, disseram.
A vulnerabilidade na implementação do OAuth dentro da Expo está relacionada ao processo de login social, diz Carmel à Dark Reading. “Quando os usuários fazem login usando suas credenciais do Facebook ou do Google, a Expo atua como intermediária e transfere as credenciais do usuário para o site de destino”, diz ele.
Os invasores poderiam ter explorado o CVE-2023-28131 interceptando esse fluxo e manipulando o Expo para enviar as credenciais do usuário para um domínio mal-intencionado em vez do destino pretendido, explica Carmel.
Essa exploração poderia ter levado a vazamentos de dados pessoais ou até mesmo fraudes financeiras se os invasores usassem credenciais para entrar nas contas financeiras dos usuários. Os agentes de ameaças também poderiam ter realizado ações em nome dos usuários em suas contas de mídia social, diz Carmel.
Por que o OAuth é complicado
A popularidade do OAuth decorre de como ele pode fornecer uma experiência de usuário muito mais perfeita para as pessoas ao interagir com sites usados com frequência. No entanto, ele tem um back-end técnico complexo que pode levar a erros de implementação, criando lacunas de segurança que estão maduras para exploração, disseram os pesquisadores.
Para garantir uma implementação OAuth, então, uma organização deve entender como o OAuth funciona e quais endpoints podem receber entradas do usuário, diz Carmel.
“Os invasores podem tentar manipular esses insumos, então validar cada um deles é essencial”, aconselha. “Isso pode ser alcançado mantendo uma lista branca de valores predeterminados ou implementando outros métodos de validação rigorosos.”
Devido à complexidade das implementações do OAuth, a Salt Security planeja lançar um guia de práticas recomendadas no futuro para ajudar as empresas a proteger suas implementações OAuth de forma eficaz, acrescenta Carmel.
FONTE: DARK READING