Az OAuth számos internetes óriás, köztük a PayPal, által alkalmazott token-alapú hitelesítés nyílt szabványa. Ezért talált egy olyan kritikus hibát az online fizetési szolgáltatásban, amely lehetővé tette a hackerek számára, hogy eltulajdonítsák a felhasználóktól az OAuth tokeneket. A PayPal rejtjelezését küldte a javítás kidolgozására.

Antonio Sanso, a biztonsági kutató és az Adobe szoftvermérnök, felfedezte a hibát, miután kipróbálta saját OAuth ügyfelét. A PayPal mellett a Sanso ugyanazt a sebezhetőséget felismerte más nagyobb internetes szolgáltatásokban is, mint például a Facebook és a Google.

Sanso szerint a probléma abban rejlik, hogy a PayPal miként kezeli a redirect_uri paramétert az alkalmazások számára bizonyos hitelesítési tokenek biztosítása érdekében. A szolgáltatás 2015 óta továbbfejlesztett átirányítási ellenőrzéseket használ a redirect_uri paraméter megerősítésére. Ennek ellenére ez nem akadályozta meg a Sanssot, hogy megkerülje ezeket az ellenőrzéseket, amikor szeptemberben megkezdte a rendszer vizsgálatát.

A PayPal lehetővé teszi a fejlesztők számára egy irányítópult használatát, amely token kéréseket készíthet annak érdekében, hogy alkalmazásokat felvegyék a szolgáltatásra. A kapott token kéréseket ezután elküldjük a PayPal hitelesítési szervernek. Most Sanso hibát talált abban, hogy a PayPal miként ismeri fel a localhost-ot érvényes redirect_uri paraméterként a hitelesítési folyamat során. Azt mondta, hogy ez a módszer helytelenül hajtotta végre az OAuth alkalmazást.

Az érvényesítési rendszer játékkal való ellátása

Ezután Sanso folytatta a PayPal hitelesítő rendszerét, és felfedte az egyébként bizalmas OAuth hitelesítő tokeneket. Sikerült becsapnia a rendszert egy bizonyos domain névrendszer-bejegyzés hozzáadásával a webhelyére, megjegyezve, hogy a localhost a mágikus szó a PayPal pontos egyezési érvényesítési folyamatának felülbírálásához.

A biztonsági rés Sanso szerint bármilyen PayPal OAuth-ügyfelet veszélyeztethette. Azt tanácsolta a felhasználóknak, hogy hozzanak létre egy nagyon specifikus redirect_uri-t, amikor OAuth-klienst készítenek. Sanso egy blogbejegyzésben írta:

DO regisztrálja a https: // yourouauthclientcom / oauth / oauthprovider / callback elemet. NEM JOG https: // yourouauthclientcom / vagy https: // yourouauthclientcom / oauth.

A PayPal először nem hitte el Sanso megállapításait, bár a vállalat végül átgondolta döntését, és most javítást adott ki a hibának.

Olvassa el még:

• 7 legjobb Windows 10 számlaszoftver használni
• A Windows 10 Mobile Wallet érintés nélküli mobil fizetéseket hoz a bennfentesek számára