Nieuwe XSS-dreiging maakt misbruik van sociale logins van OAuth, waardoor miljoenen websites in gevaar komen
Salt Labs, de onderzoeksafdeling van API-beveiligingsbedrijf Salt Security, heeft onlangs een aanzienlijke cross-site scripting (XSS) kwetsbaarheid ontdekt die het potentieel heeft om miljoenen websites over de hele wereld te treffen. In tegenstelling tot een productkwetsbaarheid die centraal kan worden gepatcht, komt dit probleem voort uit de implementatie van OAuth (een veelgebruikte app voor sociale logins) binnen webcode. Ondanks de algemene overtuiging onder ontwikkelaars dat XSS-bedreigingen tot het verleden behoren, benadrukken de bevindingen van Salt Labs een kritisch toezicht op de webbeveiliging.
Inhoudsopgave
De zelfgenoegzaamheid van vertrouwdheid
Het gemak waarmee OAuth voor sociale logins kan worden geïmplementeerd, heeft geleid tot een gevoel van zelfgenoegzaamheid onder ontwikkelaars. Deze bekendheid kan echter tot aanzienlijke fouten leiden. Het fundamentele probleem ligt in de introductie van nieuwe technologie en processen in een bestaand ecosysteem, die het gevestigde evenwicht kunnen verstoren. Dit is geen fout in OAuth zelf, maar in de manier waarop het op verschillende websites wordt geïmplementeerd. Salt Labs ontdekte dat het gebruik van OAuth zonder nauwgezette zorg en nauwgezetheid een nieuwe XSS-route kan creëren die de huidige maatregelen omzeilt, wat mogelijk kan leiden tot volledige accountovernames.
Casestudies: HotJar en Business Insider
Het onderzoek van Salt Labs richtte zich op de implementaties van twee vooraanstaande bedrijven: HotJar en Business Insider. Deze bedrijven zijn gekozen vanwege hun substantiële beveiligingsbeleid en de aanzienlijke hoeveelheid persoonlijk identificeerbare informatie (PII) die zij verwerken. Als dergelijke grote bedrijven OAuth verkeerd kunnen implementeren , is de kans groot dat kleinere, minder goed uitgeruste websites soortgelijke fouten maken. Yaniv Balmas, VP onderzoek bij Salt Security, onthulde dat soortgelijke OAuth-problemen werden aangetroffen op websites als Booking.com, Grammarly en OpenAI, hoewel deze niet in het rapport waren opgenomen.
Vooral HotJar werd in de kijker gezet vanwege de uitgebreide marktverzadiging en de enorme hoeveelheden gebruikersgegevens die het verzamelt. HotJar werkt op dezelfde manier als Google Analytics en registreert gebruikerssessiegegevens, inclusief schermafbeeldingen, toetsenbordklikken en muisacties. Deze gegevens kunnen gevoelige informatie omvatten, zoals namen, e-mailadressen, adressen, privéberichten, bankgegevens en inloggegevens. De ontdekte kwetsbaarheid stelt aanvallers in staat het sociale OAuth-inlogproces te misbruiken door inloggeheimen te vervalsen en te onderscheppen, waardoor ongeautoriseerde toegang tot gebruikersaccounts wordt verkregen.
De aanvalsmethodologie
De aanvalsmethode omvat het combineren van XSS met de OAuth-inlogstroom. Een vervaardigde link die een legitiem sociaal inlogverzoek van HotJar nabootst, initieert de aanval. Wanneer een slachtoffer op deze link klikt, kan de aanvaller de inloggeheimen onderscheppen, wat leidt tot een volledige accountovername. Deze kwetsbaarheid onderstreept het belang van veilige implementatiepraktijken, die veel websites over het hoofd zien of niet over de expertise beschikken om deze uit te voeren.
Proactieve maatregelen en hulpmiddelen
Als reactie op deze bevindingen publiceerde Salt Labs zijn methodologieën en een gratis scannertool om website-exploitanten te helpen potentiële OAuth XSS-implementatieproblemen te identificeren en aan te pakken. Deze proactieve aanpak heeft tot doel de risico's te beperken voordat deze escaleren tot aanzienlijke inbreuken op de beveiliging. Hoewel Balmas waarschuwt dat 100% succes niet kan worden gegarandeerd, biedt de tool een waardevol systeem voor vroegtijdige waarschuwing voor organisaties om hun beveiligingsposities te versterken.
De ontdekking van Salt Labs herinnert ons er duidelijk aan dat zelfs algemeen vertrouwde technologieën zoals OAuth een zorgvuldige en veilige implementatie vereisen. Naarmate het digitale landschap zich blijft ontwikkelen, moet ook onze waakzaamheid en toewijding aan robuuste cyberbeveiligingspraktijken toenemen.