Bagong XSS Threat Exploits OAuth Social Logins Naglalagay sa Milyun-milyong Website sa Panganib
Ang Salt Labs, ang research arm ng API security firm na Salt Security, ay natuklasan kamakailan ang isang makabuluhang cross-site scripting (XSS) na kahinaan na may potensyal na makaapekto sa milyun-milyong website sa buong mundo. Hindi tulad ng isang kahinaan sa produkto na maaaring i-patch sa gitna, ang isyung ito ay nagmumula sa pagpapatupad ng OAuth—isang malawakang ginagamit na app para sa mga social logins—sa loob ng web code. Sa kabila ng karaniwang paniniwala ng mga developer na ang mga banta ng XSS ay isang bagay na sa nakaraan, ang mga natuklasan ng Salt Labs ay nagpapakita ng isang kritikal na pangangasiwa sa seguridad sa web.
Talaan ng mga Nilalaman
Ang Kasiyahan ng Pamilya
Ang kadalian ng pagpapatupad ng OAuth para sa mga social login ay humantong sa isang pakiramdam ng kasiyahan sa mga developer. Ang pamilyar na ito, gayunpaman, ay maaaring humantong sa mga makabuluhang pagkakamali. Ang pangunahing isyu ay nakasalalay sa pagpapakilala ng bagong teknolohiya at mga proseso sa isang umiiral na ecosystem, na maaaring makagambala sa itinatag na ekwilibriyo. Ito ay hindi isang depekto sa OAuth mismo, ngunit sa kung paano ito ipinapatupad sa iba't ibang mga website. Natuklasan ng Salt Labs na nang walang masusing pag-aalaga at mahigpit, ang paggamit ng OAuth ay maaaring lumikha ng isang bagong ruta ng XSS na lumalampas sa mga kasalukuyang pagpapagaan, na posibleng humahantong sa kumpletong pagkuha ng account.
Mga Pag-aaral ng Kaso: HotJar at Business Insider
Nakatuon ang pananaliksik ng Salt Labs sa mga pagpapatupad ng dalawang kilalang kumpanya: HotJar at Business Insider. Napili ang mga kumpanyang ito dahil sa kanilang malaking postura sa seguridad at sa malaking halaga ng personal na pagkakakilanlan ng impormasyon (PII) na kanilang pinangangasiwaan. Kung ang mga malalaking kumpanya ay maaaring maling ipatupad ang OAuth , ang posibilidad ng mas maliit, hindi gaanong mapagkukunan na mga website na gumawa ng mga katulad na error ay mataas. Si Yaniv Balmas, VP ng pananaliksik sa Salt Security, ay nagsiwalat na ang mga katulad na isyu sa OAuth ay natagpuan sa mga website kabilang ang Booking.com, Grammarly, at OpenAI, kahit na hindi ito kasama sa ulat.
Ang HotJar, sa partikular, ay na-highlight dahil sa malawak nitong saturation sa merkado at sa napakaraming data ng user na kinokolekta nito. Parehong gumagana sa Google Analytics, ang HotJar ay nagtatala ng data ng session ng user, kabilang ang mga screenshot, pag-click sa keyboard, at pagkilos ng mouse. Ang data na ito ay maaaring sumaklaw sa sensitibong impormasyon gaya ng mga pangalan, email, address, pribadong mensahe, mga detalye ng bangko, at mga kredensyal. Ang natuklasang kahinaan ay nagbibigay-daan sa mga umaatake na samantalahin ang proseso ng social login ng OAuth sa pamamagitan ng pamemeke at pagharang ng mga lihim sa pag-log in, sa gayon ay nakakakuha ng hindi awtorisadong pag-access sa mga user account.
Ang Pamamaraan ng Pag-atake
Kasama sa paraan ng pag-atake ang pagsasama-sama ng XSS sa daloy ng pag-login sa OAuth. Ang ginawang link na ginagaya ang isang lehitimong kahilingan sa pag-login sa social na HotJar ang nagpasimula ng pag-atake. Kapag nag-click ang biktima sa link na ito, maaaring harangin ng attacker ang mga lihim sa pag-log in, na humahantong sa ganap na pagkuha ng account. Binibigyang-diin ng kahinaang ito ang kahalagahan ng mga ligtas na gawi sa pagpapatupad, na maaaring hindi napapansin o kulang sa kadalubhasaan ng maraming website na isagawa.
Mga Aktibong Panukala at Tool
Bilang tugon sa mga natuklasang ito, inilathala ng Salt Labs ang mga pamamaraan nito at isang libreng tool ng scanner upang matulungan ang mga operator ng website na matukoy at matugunan ang mga potensyal na isyu sa pagpapatupad ng OAuth XSS. Ang proactive na diskarte na ito ay naglalayong pagaanin ang mga panganib bago sila umakyat sa mga makabuluhang paglabag sa seguridad. Habang nagbabala si Balmas na hindi matitiyak ang 100% na tagumpay, ang tool ay nagbibigay ng mahalagang sistema ng maagang babala para sa mga organisasyon na patibayin ang kanilang mga postura sa seguridad.
Ang pagtuklas ng Salt Labs ay nagsisilbing matinding paalala na kahit na ang malawak na pinagkakatiwalaang mga teknolohiya tulad ng OAuth ay nangangailangan ng masigasig at secure na pagpapatupad. Habang patuloy na umuunlad ang digital na landscape, dapat din ang ating pagbabantay at pangako sa matatag na mga kasanayan sa cybersecurity.