Ny XSS-trussel udnytter OAuth-sociale logins, der sætter millioner af websteder i fare
Salt Labs, forskningsafdelingen af API-sikkerhedsfirmaet Salt Security, har for nylig opdaget en betydelig sårbarhed med cross-site scripting (XSS), der har potentiale til at påvirke millioner af websteder globalt. I modsætning til en produktsårbarhed, der kan repareres centralt, stammer dette problem fra implementeringen af OAuth – en meget brugt app til sociale logins – i webkoden. På trods af den almindelige overbevisning blandt udviklere om, at XSS-trusler hører fortiden til, fremhæver Salt Labs' resultater et kritisk tilsyn med websikkerhed.
Indholdsfortegnelse
Fortrolighedens selvtilfredshed
Den nemme implementering af OAuth til sociale logins har ført til en følelse af selvtilfredshed blandt udviklere. Denne fortrolighed kan dog føre til væsentlige fejl. Det grundlæggende spørgsmål ligger i indførelsen af ny teknologi og processer i et eksisterende økosystem, som kan forstyrre den etablerede ligevægt. Dette er ikke en fejl i selve OAuth, men i hvordan det implementeres på tværs af forskellige websteder. Salt Labs opdagede, at uden omhyggelig omhu og stringens kan brugen af OAuth skabe en ny XSS-rute, der omgår nuværende afbødninger, hvilket potentielt kan føre til fuldstændig kontoovertagelser.
Casestudier: HotJar og Business Insider
Salt Labs' forskning fokuserede på implementeringerne af to fremtrædende firmaer: HotJar og Business Insider. Disse virksomheder blev valgt på grund af deres betydelige sikkerhedsstillinger og den betydelige mængde af personligt identificerbare oplysninger (PII), de håndterer. Hvis sådanne store firmaer kan fejlimplementere OAuth , er sandsynligheden for, at mindre websteder med mindre ressourcer laver lignende fejl høj. Yaniv Balmas, VP for research hos Salt Security, afslørede, at lignende OAuth-problemer blev fundet på websteder, herunder Booking.com, Grammarly og OpenAI, selvom disse ikke var inkluderet i rapporten.
Især HotJar blev fremhævet på grund af dens omfattende markedsmætning og de enorme mængder brugerdata, den indsamler. HotJar fungerer på samme måde som Google Analytics og registrerer brugersessionsdata, herunder skærmbilleder, tastaturklik og musehandlinger. Disse data kan omfatte følsomme oplysninger såsom navne, e-mails, adresser, private beskeder, bankoplysninger og legitimationsoplysninger. Den opdagede sårbarhed giver angribere mulighed for at udnytte OAuth-social login-processen ved at forfalske og opsnappe login-hemmeligheder og derved få uautoriseret adgang til brugerkonti.
Angrebsmetoden
Angrebsmetoden involverer at kombinere XSS med OAuth-loginflowet. Et udformet link, der efterligner en legitim HotJar social login-anmodning, starter angrebet. Når et offer klikker på dette link, kan angriberen opsnappe login-hemmelighederne, hvilket fører til en fuld kontoovertagelse. Denne sårbarhed understreger vigtigheden af sikker implementeringspraksis, som mange websteder enten overser eller mangler ekspertisen til at udføre.
Proaktive foranstaltninger og værktøjer
Som svar på disse resultater udgav Salt Labs sine metoder og et gratis scannerværktøj til at hjælpe webstedsoperatører med at identificere og løse potentielle OAuth XSS-implementeringsproblemer. Denne proaktive tilgang har til formål at mindske risici, før de eskalerer til væsentlige sikkerhedsbrud. Mens Balmas advarer om, at 100 % succes ikke kan garanteres, giver værktøjet et værdifuldt tidligt varslingssystem for organisationer til at styrke deres sikkerhedsstillinger.
Opdagelsen af Salt Labs tjener som en skarp påmindelse om, at selv bredt betroede teknologier som OAuth kræver omhyggelig og sikker implementering. I takt med at det digitale landskab fortsætter med at udvikle sig, skal vores årvågenhed og engagement i robuste cybersikkerhedspraksis også gøre det.