Falhas Críticas de OAuth Descobertas nas Plataformas Grammarly, Vidio e Bukalapak
26 de Outubro de 2023

Falhas de segurança críticas foram divulgadas na implementação do Open Authorization (OAuth) de serviços online populares como Grammarly, Vidio e Bukalapak, aprimorando as deficiências anteriormente descobertas no Booking[.]com e no Expo.

As fraquezas, agora abordadas pelas respectivas empresas após a divulgação responsável entre fevereiro e abril de 2023, poderiam ter permitido que atores maliciosos obtivessem tokens de acesso e potencialmente sequestrassem contas de usuários.

OAuth é um padrão comumente usado como mecanismo para acesso entre aplicações, concedendo a sites ou aplicativos acesso às suas informações em outros sites, como o Facebook, mas sem fornecer-lhes as senhas.

"Quando o OAuth é usado para fornecer autenticação de serviço, qualquer violação de segurança nele pode levar ao roubo de identidade, fraude financeira e acesso a várias informações pessoais, incluindo números de cartão de crédito, mensagens privadas, registros de saúde e mais, dependendo do serviço específico que está sendo atacado", disse o pesquisador de Segurança do Sal, Aviad Carmel.

O problema identificado no Vídeo decorre da ausência de verificação de token, o que significa que um invasor pode usar um token de acesso gerado para outro ID de Aplicativo, um identificador aleatório criado pelo Facebook para cada aplicativo ou site que é registrado em seu portal de desenvolvedores.

Em um cenário de ataque potencial, um ator de ameaças poderia criar um site desonesto que oferece uma opção de login por meio do Facebook para coletar os tokens de acesso e subsequentemente usá-los contra o Vidio.com (que possui o ID de Aplicativo 92356), permitindo assim a apropriação total da conta.

A empresa de segurança API disse que também descobriu um problema semelhante com a verificação de token no Bukalapak.com pelo login do Facebook, que poderia resultar em acesso não autorizado à conta.

No Grammarly, surgiu que quando os usuários tentam fazer login em suas contas usando a opção "Entrar com o Facebook", uma solicitação POST HTTP é enviada para auth.grammarly[.]com para autenticá-los, usando um código secreto.

Como resultado, embora o Grammarly não seja suscetível a um ataque de reutilização de token, como no caso de Vidio e Bukalapak, é, no entanto, vulnerável a um tipo diferente de problema em que a solicitação POST pode ser alterada para substituir o código secreto por um token de acesso obtido a partir do site malicioso mencionado para ganhar acesso à conta.

"E, como nos outros sites, a implementação do Grammarly não verificou o token", disse Carmel, acrescentando, "uma apropriação de conta daria ao invasor acesso aos documentos armazenados da vítima."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...