La nuova minaccia XSS sfrutta gli accessi social OAuth mettendo a rischio milioni di siti web
Salt Labs, il braccio di ricerca della società di sicurezza API Salt Security, ha recentemente scoperto una significativa vulnerabilità di cross-site scripting (XSS) che potrebbe colpire milioni di siti web in tutto il mondo. A differenza di una vulnerabilità del prodotto che può essere risolta a livello centrale, questo problema deriva dall’implementazione di OAuth, un’app ampiamente utilizzata per gli accessi social, all’interno del codice web. Nonostante la convinzione comune tra gli sviluppatori che le minacce XSS siano una cosa del passato, i risultati di Salt Labs evidenziano una supervisione fondamentale nella sicurezza web.
Sommario
Il compiacimento della familiarità
La facilità di implementazione di OAuth per gli accessi social ha portato a un senso di compiacenza tra gli sviluppatori. Questa familiarità, tuttavia, può portare a errori significativi. La questione fondamentale risiede nell’introduzione di nuove tecnologie e processi in un ecosistema esistente, che possono sconvolgere l’equilibrio stabilito. Questo non è un difetto di OAuth in sé, ma del modo in cui viene implementato su vari siti web. Salt Labs ha scoperto che senza un'attenzione e un rigore meticolosi, l'uso di OAuth può creare un nuovo percorso XSS che aggira le attuali mitigazioni, portando potenzialmente alla completa acquisizione degli account.
Casi di studio: HotJar e Business Insider
La ricerca di Salt Labs si è concentrata sulle implementazioni di due importanti aziende: HotJar e Business Insider. Queste aziende sono state scelte per le loro notevoli misure di sicurezza e per la notevole quantità di informazioni di identificazione personale (PII) che gestiscono. Se tali grandi aziende riescono a implementare in modo errato OAuth , la probabilità che siti Web più piccoli e meno dotati di risorse commettano errori simili è elevata. Yaniv Balmas, vicepresidente della ricerca presso Salt Security, ha rivelato che problemi OAuth simili sono stati riscontrati in siti Web tra cui Booking.com, Grammarly e OpenAI, sebbene questi non siano stati inclusi nel rapporto.
HotJar, in particolare, è stato messo in evidenza per la sua ampia saturazione del mercato e per l'enorme quantità di dati degli utenti che raccoglie. Funzionando in modo simile a Google Analytics, HotJar registra i dati della sessione dell'utente, inclusi screenshot, clic sulla tastiera e azioni del mouse. Questi dati possono comprendere informazioni sensibili come nomi, e-mail, indirizzi, messaggi privati, dettagli bancari e credenziali. La vulnerabilità scoperta consente agli aggressori di sfruttare il processo di accesso social OAuth falsificando e intercettando i segreti di accesso, ottenendo così accesso non autorizzato agli account utente.
La metodologia di attacco
Il metodo di attacco prevede la combinazione di XSS con il flusso di accesso OAuth. Un collegamento creato che imita una legittima richiesta di accesso social HotJar avvia l'attacco. Quando una vittima fa clic su questo collegamento, l'aggressore può intercettare i segreti di accesso, portando all'acquisizione completa dell'account. Questa vulnerabilità sottolinea l’importanza di pratiche di implementazione sicure, che molti siti Web trascurano o non hanno le competenze per eseguire.
Misure e strumenti proattivi
In risposta a questi risultati, Salt Labs ha pubblicato le sue metodologie e uno strumento di scansione gratuito per aiutare gli operatori dei siti web a identificare e affrontare potenziali problemi di implementazione di OAuth XSS. Questo approccio proattivo mira a mitigare i rischi prima che si trasformino in gravi violazioni della sicurezza. Sebbene Balmas avverta che il successo al 100% non può essere garantito, lo strumento fornisce un prezioso sistema di allarme preventivo per consentire alle organizzazioni di rafforzare le proprie posizioni di sicurezza.
La scoperta di Salt Labs ci ricorda chiaramente che anche tecnologie ampiamente affidabili come OAuth richiedono un'implementazione diligente e sicura. Poiché il panorama digitale continua ad evolversi, anche la nostra vigilanza e il nostro impegno verso solide pratiche di sicurezza informatica devono evolversi.