OAuth משמשת כסטנדרט פתוח לאימות מבוסס אסימון המועסקים על ידי ענקיות אינטרנט רבות, כולל PayPal. זו הסיבה שגילוי של ליקוי קריטי בשירות התשלומים המקוון שיכול היה לאפשר להאקרים לגנוב אסימוני OAuth ממשתמשים, שלח את התערובת של PayPal כדי לפרוס תיקון.

אנטוניו סאנסו, חוקר אבטחה ומהנדס תוכנה של אדובי, גילה את הפגם לאחר שבדק את לקוח ה- OAuth שלו. בנוסף ל- PayPal, סאנסו גם איתרה את אותה הפגיעות בשירותי אינטרנט גדולים אחרים כמו פייסבוק וגוגל.

Sanso אומר שהבעיה נעוצה בדרך שבה PayPal מטפלת בפרמטר redirect_uri כדי לתת ליישומים אסימוני אימות מסוימים. השירות משתמש בבדיקות הפניה מחדש משופרות כדי לאשר את פרמטר redirect_uri מאז 2015. עם זאת, זה לא הפריע לסאנסו לעקוף את הבדיקות הללו כשהחל לחקור את המערכת בספטמבר.

PayPal מאפשרת למפתחים להשתמש בלוח מחוונים שיכול לייצר בקשות אסימון על מנת לגייס את היישומים שלהם לשירות. בקשות האסימון שהתקבלו נשלחות לאחר מכן לשרת הרשאה של PayPal. כעת, סאנסו מצא שגיאה כיצד PayPal מזהה localhost כפרמטר חוקי redirect_uri במהלך תהליך האימות. לדבריו, שיטה זו מיושמת באופן שגוי את OAuth.

משחק את מערכת האימות

לאחר מכן המשיך Sanso במערכת האימות של פייפאל, ולבקש אותה לחשוף את סמלי האימות OAuth הסודיים אחרת. הוא הצליח להערים על המערכת על ידי הוספת רשומה מסוימת של מערכת שמות דומיין לאתר האינטרנט שלו, וציין כי localhost שימש כמילת הקסם לביטול תהליך האימות המדויק של PayPal.

הפגיעות עלולה הייתה לסכן כל לקוח OAuth של PayPal על פי Sanso. הוא יעץ למשתמשים ליצור redirect_uri מאוד ספציפי בעת ביצוע לקוח OAuth. סאנסו כתב בפוסט בבלוג:

DO הירשם https: // yourouauthclientcom / oauth / oauthprovider / callback. NOT JUST https: // yourouauthclientcom / או https: // yourouauthclientcom / oauth.

פייפאל לא האמינה בתחילה בממצאיו של סאנסו, אם כי בסופו של דבר החברה שיקרה מחדש את החלטתה וכעת פרסמה תיקון לפגם.

קרא גם:

• 7 תוכנות חשבוניות הטובות ביותר עבור Windows 10 לשימוש
• ארנק עבור Windows 10 Mobile מביא תשלומים ניידים ללא מגע אל Insiders