איום XSS חדש מנצל התחברות חברתיות של OAuth ומעמיד מיליוני אתרים בסיכון
Salt Labs, זרוע המחקר של חברת אבטחת ה-API Salt Security, גילתה לאחרונה פגיעות משמעותית של סקריפטים בין-אתרים (XSS) שיש לה פוטנציאל להשפיע על מיליוני אתרים ברחבי העולם. שלא כמו פגיעות מוצר שניתן לתקן באופן מרכזי, בעיה זו נובעת מהטמעת OAuth - אפליקציה בשימוש נרחב לכניסות חברתיות - בתוך קוד אינטרנט. למרות האמונה הרווחת בקרב מפתחים שאיומי XSS הם נחלת העבר, הממצאים של Salt Labs מדגישים פיקוח קריטי באבטחת אינטרנט.
תוכן העניינים
השאננות של ההיכרות
הקלות שבהטמעת OAuth עבור כניסות חברתיות הובילה לתחושת שאננות בקרב מפתחים. אולם היכרות זו עלולה להוביל לטעויות משמעותיות. הנושא הבסיסי טמון בהחדרת טכנולוגיה ותהליכים חדשים למערכת אקולוגית קיימת, שעלולים לשבש את שיווי המשקל שנקבע. זה לא פגם ב-OAuth עצמו, אלא באופן המימוש באתרי אינטרנט שונים. Salt Labs גילתה שללא טיפול קפדני וקפדנות, השימוש ב-OAuth יכול ליצור מסלול XSS חדש שעוקף את ההקלות הנוכחיות, שעלול להוביל להשתלטות מלאה על החשבון.
תיאורי מקרה: HotJar ו-Business Insider
המחקר של Salt Labs התמקד בהטמעות של שתי חברות בולטות: HotJar ו-Business Insider. חברות אלו נבחרו בשל תנוחות האבטחה המשמעותיות שלהן והכמות המשמעותית של מידע אישי מזהה (PII) שהן מטפלות בהן. אם חברות גדולות כאלה יכולות ליישם שגוי של OAuth , הסבירות לכך שאתרים קטנים יותר, בעלי משאבים פחות טובים, יעשו שגיאות דומות. יניב בלמאס, סמנכ"ל מחקר ב-Salt Security, חשף שבעיות OAuth דומות נמצאו באתרים כולל Booking.com, Grammarly ו-OpenAI, אם כי אלו לא נכללו בדוח.
HotJar, במיוחד, הודגשה בשל רוויית השוק הנרחבת שלה והכמויות העצומות של נתוני המשתמשים שהיא אוספת. פועל בדומה ל-Google Analytics, HotJar מתעד נתוני הפעלה של משתמשים, כולל צילומי מסך, לחיצות מקלדת ופעולות עכבר. נתונים אלה יכולים להכיל מידע רגיש כגון שמות, מיילים, כתובות, הודעות פרטיות, פרטי בנק ואישורים. הפגיעות שהתגלתה מאפשרת לתוקפים לנצל את תהליך ההתחברות החברתי של OAuth על ידי זיוף ויירט סודות כניסה, ובכך להשיג גישה לא מורשית לחשבונות משתמש.
מתודולוגיית התקיפה
שיטת ההתקפה כוללת שילוב של XSS עם זרימת הכניסה ל-OAuth. קישור מעוצב המחקה בקשת כניסה חברתית לגיטימית של HotJar יוזם את המתקפה. כאשר קורבן לוחץ על קישור זה, התוקף יכול ליירט את סודות הכניסה, מה שיוביל להשתלטות מלאה על החשבון. פגיעות זו מדגישה את החשיבות של שיטות יישום מאובטחות, שאתרים רבים מתעלמים מהן או חסרות את המומחיות לביצוע.
אמצעים וכלים יזומים
בתגובה לממצאים אלו, Salt Labs פרסמה את המתודולוגיות שלה וכלי סורק חינמי שיעזור למפעילי אתרים לזהות ולטפל בבעיות יישום פוטנציאליות של OAuth XSS. גישה פרואקטיבית זו שואפת לצמצם סיכונים לפני שהם יסלימו לפרצות אבטחה משמעותיות. בעוד Balmas מזהיר שלא ניתן להבטיח הצלחה של 100%, הכלי מספק מערכת התרעה מוקדמת חשובה לארגונים כדי לחזק את תנוחות האבטחה שלהם.
התגלית של Salt Labs משמשת תזכורת ברורה לכך שאפילו טכנולוגיות אמינות נרחבות כמו OAuth דורשות יישום חרוץ ומאובטח. ככל שהנוף הדיגיטלי ממשיך להתפתח, כך גם הערנות והמחויבות שלנו לשיטות אבטחת סייבר חזקות חייבות.