Ein neues Sicherheitsproblem wurde in beliebten Erweiterungen wie Grammarly, Vidio und Bukalapak entdeckt. Diese Anwendungen nutzen das OAuth-Protokoll zur Authentifizierung und sind anfällig für einen Angriff, bei dem Authentifizierungstoken gestohlen werden.
OAuth, ursprünglich 2006 eingeführt, ermöglicht eine passwortlose Anmeldung für viele Apps über Social Media Konten, z.B. Facebook, Twitter oder Google. Angesichts der Tatsache, dass diese betroffenen Anbieter zusammen mehr als 100 Millionen Nutzer haben, könnten Millionen von Nutzern gefährdet sein. Alle betroffenen Anbieter haben jedoch umgehend reagiert und die gemeldeten Probleme behoben.
Übernahme von Konten aufgrund mangelnder Token-Validierung
Für eine sichere Nutzung von OAuth müssen Anwendungen überprüfen, ob ein Authentifizierungstoken legitim oder böswillig ist. Wenn diese Überprüfung nicht durchgeführt wird, können Cyberkriminelle eine schädliche Website erstellen und ihren eigenen Token von Plattformen wie Facebook oder Google verwenden, um Benutzerkonten in der betroffenen Anwendung zu übernehmen.
Zur Veranschaulichung haben Forscher eine schädliche Website mit Facebook-Entwicklern erstellt und so einen OAuth-Authentifizierungstoken für ihre Anwendung erhalten. Dieser Token wurde dann durch den Token der anfälligen Anwendung ersetzt, was zu einer Kontenübernahme führte.
Es wurde betont, dass dies nur Beispiele sind und Tausende von Anwendungen immer noch keine Token-Validierung haben, wodurch sie anfällig für Kontenübernahmen in großem Stil sind.
Salt Security hat einen umfassenden Bericht über diesen Angriff veröffentlicht, der detaillierte Informationen über den Angriff, den Quellcode und andere relevante Daten enthält.
Entwicklern wird dringend empfohlen, eine Token-Validierung für OAuth-Token einzuführen, um solche Ausnutzungen durch Cyberkriminelle zu verhindern.