La nova amenaça XSS explota els inicis de sessió socials d'OAuth posant en risc milions de llocs web
Salt Labs, el braç d'investigació de l'empresa de seguretat API Salt Security, ha descobert recentment una vulnerabilitat important de cross-site scripting (XSS) que pot afectar milions de llocs web a tot el món. A diferència d'una vulnerabilitat de producte que es pot corregir de manera centralitzada, aquest problema prové de la implementació d'OAuth, una aplicació àmpliament utilitzada per a inicis de sessió socials, dins del codi web. Malgrat la creença comuna entre els desenvolupadors que les amenaces XSS són cosa del passat, les troballes de Salt Labs posen de manifest una supervisió crítica de la seguretat web.
Taula de continguts
La complaença de la familiaritat
La facilitat d'implementar OAuth per als inicis de sessió socials ha provocat una sensació de complaença entre els desenvolupadors. Aquesta familiaritat, però, pot conduir a errors importants. La qüestió fonamental rau en la introducció de noves tecnologies i processos en un ecosistema existent, que poden alterar l'equilibri establert. Això no és un defecte d'OAuth en si, sinó de com s'implementa a diversos llocs web. Salt Labs va descobrir que sense una cura minuciosa i rigor, l'ús d'OAuth pot crear una nova ruta XSS que passa per alt les mitigacions actuals, la qual cosa podria conduir a les adquisicions completes del compte.
Cas pràctics: HotJar i Business Insider
La investigació de Salt Labs es va centrar en les implementacions de dues empreses destacades: HotJar i Business Insider. Aquestes empreses van ser escollides a causa de les seves posicions de seguretat substancials i la quantitat important d'informació d'identificació personal (PII) que gestionen. Si aquestes grans empreses poden implementar malament OAuth , la probabilitat que llocs web més petits i amb menys recursos facin errors similars és alta. Yaniv Balmas, vicepresident d'investigació de Salt Security, va revelar que es van trobar problemes d'OAuth similars a llocs web com Booking.com, Grammarly i OpenAI, tot i que no es van incloure a l'informe.
HotJar, en particular, es va destacar a causa de la seva àmplia saturació del mercat i de les grans quantitats de dades dels usuaris que recull. Funcionant de manera similar a Google Analytics, HotJar registra les dades de la sessió dels usuaris, incloses les captures de pantalla, els clics del teclat i les accions del ratolí. Aquestes dades poden incloure informació sensible com ara noms, correus electrònics, adreces, missatges privats, dades bancàries i credencials. La vulnerabilitat descoberta permet als atacants explotar el procés d'inici de sessió social d'OAuth falsificant i interceptant secrets d'inici de sessió, obtenint així accés no autoritzat als comptes d'usuari.
La metodologia d'atac
El mètode d'atac consisteix a combinar XSS amb el flux d'inici de sessió OAuth. Un enllaç dissenyat que imite una sol·licitud d'inici de sessió social legítima de HotJar inicia l'atac. Quan una víctima fa clic en aquest enllaç, l'atacant pot interceptar els secrets d'inici de sessió, donant lloc a una presa total del compte. Aquesta vulnerabilitat subratlla la importància de les pràctiques d'implementació segures, que molts llocs web passen per alt o no tenen l'experiència per executar.
Mesures i eines proactives
En resposta a aquestes troballes, Salt Labs va publicar les seves metodologies i una eina d'escàner gratuïta per ajudar els operadors de llocs web a identificar i solucionar possibles problemes d'implementació d'OAuth XSS. Aquest enfocament proactiu té com a objectiu mitigar els riscos abans que es transformin en bretxes de seguretat importants. Tot i que Balmas adverteix que no es pot garantir el 100% d'èxit, l'eina proporciona un valuós sistema d'alerta primerenca perquè les organitzacions enforteixin les seves postures de seguretat.
El descobriment de Salt Labs serveix com a recordatori contundent que fins i tot tecnologies de gran confiança com OAuth requereixen una implementació diligent i segura. A mesura que el panorama digital continua evolucionant, també ho han de fer la nostra vigilància i compromís amb pràctiques sòlides de ciberseguretat.