Нова КССС претња експлоатише ОАутх друштвене пријаве, стављајући милионе веб локација у опасност
Салт Лабс, истраживачки огранак АПИ безбедносне фирме Салт Сецурити, недавно је открио значајну рањивост скриптовања на више локација (КССС) која има потенцијал да утиче на милионе веб локација широм света. За разлику од рањивости производа која се може централно закрпити, овај проблем потиче од имплементације ОАутх-а – широко коришћене апликације за пријављивање на друштвене мреже – у оквиру веб кода. Упркос општем уверењу међу програмерима да су КССС претње ствар прошлости, налази Салт Лабса истичу критичан превид у веб безбедности.
Преглед садржаја
Самозадовољство фамилијарности
Лакоћа имплементације ОАутх-а за друштвене пријаве довела је до осећаја самозадовољства међу програмерима. Ово познавање, међутим, може довести до значајних грешака. Основно питање лежи у увођењу нове технологије и процеса у постојећи екосистем, што може пореметити успостављену равнотежу. Ово није мана у самом ОАутх-у, већ у начину на који се примењује на различитим веб локацијама. Салт Лабс је открио да без пажљиве пажње и строгости, употреба ОАутх-а може створити нову КССС руту која заобилази тренутна ублажавања, што потенцијално доводи до потпуног преузимања налога.
Студије случаја: ХотЈар и Бусинесс Инсидер
Истраживање Салт Лабс-а се фокусирало на имплементације две истакнуте фирме: ХотЈар и Бусинесс Инсидер. Ове компаније су изабране због њихове значајне безбедносне позиције и значајне количине личних информација (ПИИ) којима рукују. Ако такве велике компаније могу погрешно да имплементирају ОАутх , велика је вероватноћа да ће мање веб локације са мање ресурса направити сличне грешке. Јанив Балмас, потпредседник истраживања у Салт Сецурити-у, открио је да су слични проблеми са ОАутх-ом пронађени на веб локацијама укључујући Боокинг.цом, Граммарли и ОпенАИ, иако они нису укључени у извештај.
ХотЈар је посебно истакнут због своје велике засићености тржишта и огромне количине корисничких података које прикупља. Радећи слично Гоогле аналитици, ХотЈар бележи податке о сесијама корисника, укључујући снимке екрана, кликове на тастатури и радње миша. Ови подаци могу да обухватају осетљиве информације као што су имена, е-пошта, адресе, приватне поруке, банковни подаци и акредитиви. Откривена рањивост омогућава нападачима да искористе ОАутх процес друштвеног пријављивања тако што ће кривотворити и пресрести тајне за пријаву, чиме добијају неовлашћени приступ корисничким налозима.
Методологија напада
Метод напада укључује комбиновање КССС-а са ОАутх током пријаве. Израђена веза која опонаша легитимни ХотЈар захтев за пријаву на друштвену мрежу покреће напад. Када жртва кликне на ову везу, нападач може пресрести тајне за пријаву, што доводи до потпуног преузимања налога. Ова рањивост наглашава важност безбедних пракси имплементације, које многе веб странице или занемарују или им недостаје стручност да их изврше.
Проактивне мере и алати
Као одговор на ове налазе, Салт Лабс је објавио своје методологије и бесплатни алат за скенер како би помогао оператерима веб локација да идентификују и реше потенцијалне проблеме са имплементацијом ОАутх КССС-а. Овај проактивни приступ има за циљ да ублажи ризике пре него што прерасте у значајне повреде безбедности. Иако Балмас упозорава да се 100% успех не може гарантовати, алатка пружа вредан систем раног упозорења за организације да ојачају своје безбедносне позиције.
Откриће Салт Лабса служи као оштар подсетник да чак и технологије којима се верује, као што је ОАутх, захтевају марљиву и безбедну примену. Како дигитални пејзаж наставља да се развија, тако мора да се развија и наша будност и посвећеност робусним праксама сајбер безбедности.