Uusi XSS-uhka hyödyntää OAuthin sosiaalisia kirjautumisia ja asettaa miljoonat verkkosivustot vaaraan
Salt Labs, API-tietoturvayrityksen Salt Securityn tutkimusosasto, on äskettäin löytänyt merkittävän cross-site scripting (XSS) -haavoittuvuuden , joka voi vaikuttaa miljooniin verkkosivustoihin maailmanlaajuisesti. Toisin kuin tuotteen haavoittuvuus, joka voidaan korjata keskitetysti, tämä ongelma johtuu OAuthin - laajalti käytetyn sosiaalisten kirjautumisten sovelluksen - toteutuksesta verkkokoodin sisällä. Huolimatta kehittäjien yleisestä uskomuksesta, että XSS-uhat ovat menneisyyttä, Salt Labsin havainnot korostavat verkkoturvallisuuden kriittistä laiminlyöntiä.
Sisällysluettelo
Tutun omahyväisyys
OAuthin käyttöönoton helppous sosiaalisissa kirjautumisissa on johtanut kehittäjien tyytyväisyyteen. Tämä tuttuus voi kuitenkin johtaa merkittäviin virheisiin. Peruskysymys on uuden teknologian ja prosessien tuominen olemassa olevaan ekosysteemiin, mikä voi häiritä vakiintunutta tasapainoa. Tämä ei ole virhe itse OAuthissa, vaan siinä, miten se on toteutettu eri verkkosivustoilla. Salt Labs havaitsi, että ilman huolellista huolellisuutta ja kurinalaisuutta OAuthin käyttö voi luoda uuden XSS-reitin, joka ohittaa nykyiset lievennykset, mikä saattaa johtaa tilien täydelliseen haltuunottoon.
Tapaustutkimukset: HotJar ja Business Insider
Salt Labsin tutkimus keskittyi kahden tunnetun yrityksen, HotJar ja Business Insider, toteutuksiin. Nämä yritykset valittiin niiden merkittävien turvallisuusasetelmien ja niiden käsittelemien henkilökohtaisten tunnistetietojen (PII) huomattavan määrän vuoksi. Jos tällaiset suuret yritykset voivat ottaa OAuthin käyttöön väärin , on suuri todennäköisyys, että pienemmät, vähemmän resursoidut verkkosivustot tekevät samanlaisia virheitä. Yaniv Balmas, Salt Securityn tutkimusjohtaja, paljasti, että samanlaisia OAuth-ongelmia löydettiin verkkosivustoilta, kuten Booking.com, Grammarly ja OpenAI, vaikka niitä ei sisällytetty raporttiin.
Erityisesti HotJar korostettiin sen laajan markkinoiden kyllästymisen ja sen keräämien valtavien käyttäjätietojen vuoksi. Google Analyticsin tapaan toimiva HotJar tallentaa käyttäjän istuntotiedot, mukaan lukien kuvakaappaukset, näppäimistön napsautukset ja hiiren toiminnot. Nämä tiedot voivat sisältää arkaluontoisia tietoja, kuten nimiä, sähköposteja, osoitteita, yksityisviestejä, pankkitietoja ja valtuustietoja. Löydetyn haavoittuvuuden ansiosta hyökkääjät voivat hyödyntää OAuthin sosiaalista kirjautumisprosessia väärentämällä ja sieppaamalla kirjautumissalaisuuksia, jolloin he saavat luvattoman pääsyn käyttäjätileihin.
Hyökkäysmetodologia
Hyökkäysmenetelmään kuuluu XSS:n yhdistäminen OAuth-kirjautumiskulkuun. Muotoiltu linkki, joka jäljittelee laillista HotJar-sosiaalista kirjautumispyyntöä, käynnistää hyökkäyksen. Kun uhri napsauttaa tätä linkkiä, hyökkääjä voi siepata kirjautumissalaisuudet, mikä johtaa tilin täydelliseen haltuun. Tämä haavoittuvuus korostaa turvallisten toteutuskäytäntöjen tärkeyttä. Monet verkkosivustot joko jättävät huomiotta tai niiltä puuttuu asiantuntemus.
Ennakoivat toimenpiteet ja työkalut
Vastauksena näihin havaintoihin Salt Labs julkaisi menetelmänsä ja ilmaisen skannerityökalun, joka auttaa verkkosivustojen ylläpitäjiä tunnistamaan ja ratkaisemaan mahdolliset OAuth XSS -käyttöönottoongelmat. Tämän ennakoivan lähestymistavan tarkoituksena on vähentää riskejä ennen kuin ne eskaloituvat merkittäviksi tietoturvaloukkauksiksi. Vaikka Balmas varoittaa, että 100-prosenttista menestystä ei voida taata, työkalu tarjoaa arvokkaan varhaisvaroitusjärjestelmän organisaatioille vahvistaakseen turva-asentojaan.
Salt Labsin löytö on jyrkkä muistutus siitä, että jopa laajalti luotetut tekniikat, kuten OAuth, vaativat huolellista ja turvallista käyttöönottoa. Digitaalisen maiseman kehittyessä on myös oltava valppauttamme ja sitoutumistamme vankoihin kyberturvallisuuskäytäntöihin.