Nytt XSS-hot utnyttjar sociala OAuth-inloggningar som sätter miljontals webbplatser i riskzonen
Salt Labs, forskningsarm av API-säkerhetsföretaget Salt Security, har nyligen upptäckt en betydande sårbarhet för cross-site scripting (XSS) som har potential att påverka miljontals webbplatser globalt. Till skillnad från en produktsårbarhet som kan korrigeras centralt, härrör det här problemet från implementeringen av OAuth – en flitigt använd app för sociala inloggningar – inom webbkod. Trots den vanliga uppfattningen bland utvecklare att XSS-hot är ett minne blott, belyser Salt Labs resultat en kritisk tillsyn i webbsäkerhet.
Innehållsförteckning
Förtrogenhetens självgodhet
Lättheten att implementera OAuth för sociala inloggningar har lett till en känsla av självbelåtenhet bland utvecklare. Denna förtrogenhet kan dock leda till betydande misstag. Den grundläggande frågan ligger i införandet av ny teknik och processer i ett befintligt ekosystem, vilket kan störa den etablerade jämvikten. Detta är inte ett fel i själva OAuth, utan i hur det implementeras på olika webbplatser. Salt Labs upptäckte att utan noggrann omsorg och noggrannhet kan användningen av OAuth skapa en ny XSS-rutt som kringgår nuvarande begränsningar, vilket potentiellt leder till fullständiga kontoövertaganden.
Fallstudier: HotJar och Business Insider
Salt Labs forskning fokuserade på implementeringar av två framstående företag: HotJar och Business Insider. Dessa företag valdes ut på grund av deras betydande säkerhetsställningar och den betydande mängd personligt identifierbar information (PII) de hanterar. Om sådana stora företag kan felimplementera OAuth är sannolikheten stor för att mindre webbplatser med mindre resurser gör liknande fel. Yaniv Balmas, forskningschef på Salt Security, avslöjade att liknande OAuth-problem hittades på webbplatser inklusive Booking.com, Grammarly och OpenAI, även om dessa inte ingick i rapporten.
HotJar, särskilt, framhävdes på grund av dess omfattande marknadsmättnad och de stora mängder användardata som den samlar in. HotJar fungerar på samma sätt som Google Analytics och registrerar användarsessionsdata, inklusive skärmdumpar, tangentbordsklick och musåtgärder. Dessa data kan omfatta känslig information som namn, e-post, adresser, privata meddelanden, bankuppgifter och inloggningsuppgifter. Den upptäckta sårbarheten tillåter angripare att utnyttja OAuths sociala inloggningsprocessen genom att förfalska och avlyssna inloggningshemligheter, och därigenom få obehörig åtkomst till användarkonton.
Attackmetoden
Attackmetoden innebär att XSS kombineras med OAuth-inloggningsflödet. En skapad länk som efterliknar en legitim HotJar social inloggningsförfrågan initierar attacken. När ett offer klickar på den här länken kan angriparen fånga inloggningshemligheterna, vilket leder till ett fullständigt kontoövertagande. Denna sårbarhet understryker vikten av säkra implementeringsmetoder, som många webbplatser antingen förbiser eller saknar expertis att utföra.
Proaktiva åtgärder och verktyg
Som svar på dessa resultat publicerade Salt Labs sina metoder och ett gratis skannerverktyg för att hjälpa webbplatsoperatörer att identifiera och ta itu med potentiella OAuth XSS-implementeringsproblem. Detta proaktiva tillvägagångssätt syftar till att minska riskerna innan de eskalerar till betydande säkerhetsintrång. Medan Balmas varnar för att 100 % framgång inte kan garanteras, tillhandahåller verktyget ett värdefullt system för tidig varning för organisationer att stärka sina säkerhetsställningar.
Upptäckten av Salt Labs tjänar som en skarp påminnelse om att till och med pålitliga teknologier som OAuth kräver noggrann och säker implementering. När det digitala landskapet fortsätter att utvecklas, så måste också vår vaksamhet och engagemang för robusta cybersäkerhetsmetoder.