Grammarly, Vidio ve Bukalapak Platformlarında Ortaya Çıkarılan Kritik OAuth Kusurları

Grammarly, Vidio ve Bukalapak gibi popüler çevrimiçi hizmetlerin Açık Yetkilendirme (OAuth) uygulamasında, Booking'de ortaya çıkarılan önceki eksikliklere dayanarak kritik güvenlik kusurları açıklandı.

Şubat ve Nisan 2023 arasında sorumlu bir şekilde ifşa edilmesinin ardından ilgili şirketler tarafından ele alınan zayıflıklar, kötü niyetli aktörlerin erişim belirteçleri elde etmesine ve potansiyel olarak kullanıcı hesaplarını ele geçirmesine izin vermiş olabilir.

OAuth, uygulamalar arası erişim için yaygın olarak kullanılan bir mekanizma olarak kullanılan, web sitelerine veya uygulamalara Facebook gibi diğer web sitelerindeki bilgilerine erişim izni veren, ancak şifreleri vermeyen bir standarttır.

"OAuth, hizmet kimlik doğrulaması sağlamak için kullanıldığında, içindeki herhangi bir güvenlik ihlali, saldırıya uğrayan belirli hizmete bağlı olarak kimlik hırsızlığına, mali dolandırıcılığa ve kredi kartı numaraları, özel mesajlar, sağlık kayıtları ve daha fazlası dahil olmak üzere çeşitli kişisel bilgilere erişime yol açabilir" dedi.

Vidio'da tanımlanan sorun, belirteç doğrulamasının olmamasından kaynaklanmaktadır, yani bir saldırgan, geliştirici portalına kaydolan her uygulama veya web sitesi için Facebook tarafından oluşturulan rastgele bir tanımlayıcı olan başka bir Uygulama Kimliği için oluşturulan bir erişim belirtecini kullanabilir.

Olası bir saldırı senaryosunda, bir tehdit aktörü, erişim belirteçlerini toplamak için Facebook üzerinden oturum açma seçeneği sunan ve ardından bunları Vidio.com (Uygulama Kimliği 92356'ya sahip) karşı kullanan ve böylece hesabın tam olarak ele geçirilmesine izin veren sahte bir web sitesi oluşturabilir.

API güvenlik firması, Facebook girişi Bukalapak.com yoluyla token doğrulamasında yetkisiz hesap erişimine neden olabilecek benzer bir sorun keşfettiğini söyledi.

Grammarly'de, kullanıcılar "Facebook ile Giriş Yap" seçeneğini kullanarak hesaplarına giriş yapmaya çalıştıklarında, auth.grammarly'ye bir HTTP POST isteği gönderildiği ortaya çıktı[.] com'u kullanarak gizli bir kod kullanarak kimliklerini doğrulamak için.

Sonuç olarak, Grammarly, Vidio ve Bukalapak örneğinde olduğu gibi bir belirteç yeniden kullanım saldırısına karşı duyarlı olmasa da, yine de POST isteğinin, hesaba erişmek için yukarıda belirtilen kötü amaçlı web sitesinden elde edilen bir erişim belirteci ile gizli kodu değiştirmek için değiştirilebileceği farklı bir soruna karşı savunmasızdır.

Carmel, "Ve diğer sitelerde olduğu gibi, Grammarly uygulaması da belirteç doğrulaması yapmadı" dedi ve ekledi: "Bir hesabın ele geçirilmesi, bir saldırganın kurbanın depolanan belgelerine erişmesine izin verir."