Noua amenințare XSS exploatează conexiunile sociale OAuth, punând în pericol milioane de site-uri web
Salt Labs, componenta de cercetare a firmei de securitate API Salt Security, a descoperit recent o vulnerabilitate semnificativă de tip cross-site scripting (XSS) care are potențialul de a afecta milioane de site-uri web la nivel global. Spre deosebire de o vulnerabilitate a unui produs care poate fi corectată la nivel central, această problemă provine din implementarea OAuth – o aplicație utilizată pe scară largă pentru autentificarea socială – în cadrul codului web. În ciuda credinței comune în rândul dezvoltatorilor că amenințările XSS sunt de domeniul trecutului, descoperirile Salt Labs evidențiază o supraveghere critică a securității web.
Cuprins
Complezența familiarității
Ușurința implementării OAuth pentru autentificarea socială a condus la un sentiment de complezență în rândul dezvoltatorilor. Această familiaritate poate duce însă la greșeli semnificative. Problema fundamentală constă în introducerea de noi tehnologii și procese într-un ecosistem existent, care poate perturba echilibrul stabilit. Acesta nu este un defect în OAuth în sine, ci în modul în care este implementat pe diferite site-uri web. Salt Labs a descoperit că, fără grijă și rigoare meticuloasă, utilizarea OAuth poate crea o nouă rută XSS care ocolește atenuările actuale, ceea ce poate duce la preluarea completă a conturilor.
Studii de caz: HotJar și Business Insider
Cercetarea Salt Labs s-a concentrat pe implementările de către două firme proeminente: HotJar și Business Insider. Aceste companii au fost alese datorită pozițiilor lor substanțiale de securitate și cantității semnificative de informații de identificare personală (PII) pe care le gestionează. Dacă astfel de firme majore pot implementa greșit OAuth , probabilitatea ca site-urile web mai mici și mai puțin bine dotate să facă erori similare este mare. Yaniv Balmas, VP de cercetare la Salt Security, a dezvăluit că probleme similare OAuth au fost găsite pe site-uri web, inclusiv Booking.com, Grammarly și OpenAI, deși acestea nu au fost incluse în raport.
HotJar, în special, a fost evidențiat datorită saturației sale extinse pe piață și a cantităților mari de date despre utilizatori pe care le colectează. Funcționând similar cu Google Analytics, HotJar înregistrează datele despre sesiunile utilizatorului, inclusiv capturi de ecran, clicuri de la tastatură și acțiuni ale mouse-ului. Aceste date pot cuprinde informații sensibile, cum ar fi nume, e-mailuri, adrese, mesaje private, detalii bancare și acreditări. Vulnerabilitatea descoperită permite atacatorilor să exploateze procesul de conectare socială OAuth prin falsificarea și interceptarea secretelor de conectare, obținând astfel acces neautorizat la conturile de utilizator.
Metodologia atacului
Metoda de atac implică combinarea XSS cu fluxul de conectare OAuth. Un link creat care imită o solicitare legitimă de conectare la rețeaua HotJar inițiază atacul. Când o victimă face clic pe acest link, atacatorul poate intercepta secretele de conectare, ceea ce duce la preluarea completă a contului. Această vulnerabilitate subliniază importanța practicilor securizate de implementare, pe care multe site-uri fie le trec cu vederea, fie nu au experiența necesară pentru a le executa.
Măsuri și instrumente proactive
Ca răspuns la aceste constatări, Salt Labs și-a publicat metodologiile și un instrument de scanare gratuit pentru a ajuta operatorii de site-uri web să identifice și să rezolve potențialele probleme de implementare a OAuth XSS. Această abordare proactivă urmărește atenuarea riscurilor înainte ca acestea să devină breșe semnificative de securitate. În timp ce Balmas avertizează că succesul 100% nu poate fi garantat, instrumentul oferă un sistem valoros de avertizare timpurie pentru ca organizațiile să își întărească pozițiile de securitate.
Descoperirea de către Salt Labs servește ca un memento clar că chiar și tehnologiile de încredere, cum ar fi OAuth, necesită o implementare diligentă și sigură. Pe măsură ce peisajul digital continuă să evolueze, la fel trebuie și vigilența și angajamentul nostru față de practicile solide de securitate cibernetică.