Ny XSS-trussel utnytter OAuth sosiale pålogginger som setter millioner av nettsteder i fare
Salt Labs, forskningsarmen til API-sikkerhetsfirmaet Salt Security, har nylig oppdaget en betydelig sårbarhet for cross-site scripting (XSS) som har potensial til å påvirke millioner av nettsteder globalt. I motsetning til en produktsårbarhet som kan lappes sentralt, stammer dette problemet fra implementeringen av OAuth – en mye brukt app for sosiale pålogginger – innenfor nettkode. Til tross for den vanlige oppfatningen blant utviklere om at XSS-trusler hører fortiden til, fremhever Salt Labs' funn et kritisk tilsyn innen nettsikkerhet.
Innholdsfortegnelse
Familiaritetens selvtilfredshet
Den enkle implementeringen av OAuth for sosiale pålogginger har ført til en følelse av selvtilfredshet blant utviklere. Denne kjennskapen kan imidlertid føre til betydelige feil. Det grunnleggende problemet ligger i introduksjonen av ny teknologi og prosesser i et eksisterende økosystem, som kan forstyrre den etablerte likevekten. Dette er ikke en feil i selve OAuth, men i hvordan det implementeres på tvers av ulike nettsteder. Salt Labs oppdaget at uten omhyggelig omsorg og strenghet, kan bruken av OAuth skape en ny XSS-rute som omgår gjeldende avbøtende tiltak, noe som potensielt kan føre til fullstendig kontoovertakelse.
Kasusstudier: HotJar og Business Insider
Salt Labs' forskning fokuserte på implementeringene av to fremtredende firmaer: HotJar og Business Insider. Disse selskapene ble valgt på grunn av deres betydelige sikkerhetsstillinger og den betydelige mengden personlig identifiserbar informasjon (PII) de håndterer. Hvis slike store firmaer kan feilimplementere OAuth , er sannsynligheten for at mindre nettsteder med mindre ressurser gjør lignende feil stor. Yaniv Balmas, VP for forskning ved Salt Security, avslørte at lignende OAuth-problemer ble funnet på nettsteder inkludert Booking.com, Grammarly og OpenAI, selv om disse ikke var inkludert i rapporten.
Spesielt HotJar ble fremhevet på grunn av sin omfattende markedsmetning og de enorme mengder brukerdata den samler inn. HotJar fungerer på samme måte som Google Analytics, og registrerer brukerøktdata, inkludert skjermbilder, tastaturklikk og musehandlinger. Disse dataene kan omfatte sensitiv informasjon som navn, e-post, adresser, private meldinger, bankdetaljer og legitimasjon. Den oppdagede sårbarheten lar angripere utnytte den sosiale påloggingsprosessen for OAuth ved å forfalske og avskjære påloggingshemmeligheter, og dermed få uautorisert tilgang til brukerkontoer.
Angrepsmetodikken
Angrepsmetoden innebærer å kombinere XSS med OAuth-påloggingsflyten. En laget lenke som etterligner en legitim HotJar sosial påloggingsforespørsel starter angrepet. Når et offer klikker på denne koblingen, kan angriperen avskjære innloggingshemmelighetene, noe som fører til en fullstendig kontoovertakelse. Denne sårbarheten understreker viktigheten av sikker implementeringspraksis, som mange nettsteder enten overser eller mangler ekspertisen til å utføre.
Proaktive tiltak og verktøy
Som svar på disse funnene publiserte Salt Labs sine metoder og et gratis skannerverktøy for å hjelpe nettstedoperatører med å identifisere og adressere potensielle OAuth XSS-implementeringsproblemer. Denne proaktive tilnærmingen tar sikte på å redusere risikoer før de eskalerer til betydelige sikkerhetsbrudd. Mens Balmas advarer om at 100 % suksess ikke kan garanteres, gir verktøyet et verdifullt tidlig varslingssystem for organisasjoner for å styrke sine sikkerhetsstillinger.
Oppdagelsen av Salt Labs tjener som en sterk påminnelse om at selv allment pålitelige teknologier som OAuth krever flittig og sikker implementering. Ettersom det digitale landskapet fortsetter å utvikle seg, må vår årvåkenhet og forpliktelse til robuste nettsikkerhetspraksis også gjøres.