Nowe zagrożenie XSS wykorzystuje loginy społecznościowe OAuth, narażając miliony witryn internetowych na ryzyko
Salt Labs, dział badawczy firmy Salt Security zajmującej się bezpieczeństwem interfejsów API, odkrył niedawno istotną lukę w zabezpieczeniach typu cross-site scripting (XSS), która może mieć wpływ na miliony witryn internetowych na całym świecie. W przeciwieństwie do luki w zabezpieczeniach produktu, którą można załatać centralnie, problem ten wynika z implementacji OAuth – powszechnie używanej aplikacji do logowania społecznościowego – w kodzie internetowym. Pomimo powszechnego przekonania wśród programistów, że zagrożenia XSS należą już do przeszłości, ustalenia Salt Labs podkreślają krytyczne niedopatrzenie w bezpieczeństwie sieci.
Spis treści
Samozadowolenie znajomości
Łatwość wdrożenia protokołu OAuth do logowania w mediach społecznościowych doprowadziła do poczucia samozadowolenia wśród programistów. Ta znajomość może jednak prowadzić do znaczących błędów. Zasadniczą kwestią jest wprowadzenie do istniejącego ekosystemu nowych technologii i procesów, które mogą zaburzyć ustaloną równowagę. Nie jest to wada samego protokołu OAuth, ale sposobu jego implementacji w różnych witrynach internetowych. Salt Labs odkryło, że bez skrupulatnej ostrożności i rygoru użycie OAuth może stworzyć nową trasę XSS, która omija obecne zabezpieczenia, co może prowadzić do całkowitego przejęcia kont.
Studia przypadków: HotJar i Business Insider
Badania Salt Labs skupiały się na wdrożeniach dwóch czołowych firm: HotJar i Business Insider. Firmy te zostały wybrane ze względu na ich wysoki poziom bezpieczeństwa i znaczną ilość danych osobowych, którymi zarządzają. Jeśli takim dużym firmom uda się błędnie wdrożyć protokół OAuth , prawdopodobieństwo, że mniejsze witryny internetowe z mniejszymi zasobami popełnią podobne błędy, jest wysokie. Yaniv Balmas, wiceprezes ds. badań w Salt Security, ujawnił, że podobne problemy z OAuth wykryto w witrynach takich jak Booking.com, Grammarly i OpenAI, chociaż nie zostały one uwzględnione w raporcie.
W szczególności HotJar został wyróżniony ze względu na duże nasycenie rynkiem i ogromną ilość gromadzonych danych użytkowników. Działając podobnie do Google Analytics, HotJar rejestruje dane sesji użytkownika, w tym zrzuty ekranu, kliknięcia klawiaturą i działania myszą. Dane te mogą obejmować informacje poufne, takie jak imiona i nazwiska, adresy e-mail, adresy, wiadomości prywatne, dane bankowe i dane uwierzytelniające. Odkryta luka umożliwia atakującym wykorzystanie procesu logowania społecznościowego OAuth poprzez fałszowanie i przechwytywanie sekretów logowania, uzyskując w ten sposób nieautoryzowany dostęp do kont użytkowników.
Metodologia ataku
Metoda ataku polega na połączeniu XSS z przepływem logowania OAuth. Stworzony link imitujący uzasadnione żądanie logowania do serwisu społecznościowego HotJar inicjuje atak. Gdy ofiara kliknie ten link, osoba atakująca może przechwycić sekrety logowania, co może doprowadzić do pełnego przejęcia konta. Luka ta podkreśla znaczenie bezpiecznych praktyk wdrożeniowych, które wiele witryn internetowych przeocza lub brakuje im wiedzy specjalistycznej do ich wykonania.
Proaktywne środki i narzędzia
W odpowiedzi na te ustalenia firma Salt Labs opublikowała swoje metodologie i bezpłatne narzędzie skanera, które ma pomóc operatorom witryn internetowych w identyfikowaniu i rozwiązywaniu potencjalnych problemów z wdrażaniem protokołu OAuth XSS. To proaktywne podejście ma na celu ograniczenie ryzyka, zanim przerodzi się ono w poważne naruszenia bezpieczeństwa. Choć Balmas ostrzega, że nie można zagwarantować 100% sukcesu, narzędzie to zapewnia organizacjom cenny system wczesnego ostrzegania, pozwalający na wzmocnienie ich zabezpieczeń.
Odkrycie dokonane przez Salt Labs stanowi wyraźne przypomnienie, że nawet powszechnie zaufane technologie, takie jak OAuth, wymagają starannego i bezpiecznego wdrożenia. W miarę ewolucji krajobrazu cyfrowego konieczna jest także nasza czujność i zaangażowanie w niezawodne praktyki w zakresie cyberbezpieczeństwa.