OAuth kalpo kā atklāts standarts žetonu autentificēšanai, ko izmanto daudzi interneta giganti, ieskaitot PayPal. Tāpēc atklājums par kritisku trūkumu tiešsaistes maksājumu pakalpojumā, kas varēja ļaut hakeriem nozagt OAuth marķierus no lietotājiem, ir nosūtījis PayPal šifrēšanu, lai izvērstu plāksteri.

Drošības pētnieks un Adobe programmatūras inženieris Antonio Sanso atklāja trūkumu pēc tam, kad viņš pārbaudīja savu OAuth klientu. Papildus PayPal Sanso atklāja tādu pašu ievainojamību arī citos lielākajos interneta pakalpojumos, piemēram, Facebook un Google.

Sanso saka, ka problēma ir saistīta ar veidu, kā PayPal apstrādā parametru redirect_uri, lai piešķirtu lietojumprogrammām noteiktus autentifikācijas marķierus. Pakalpojums jau kopš 2015. gada izmanto pastiprinātas novirzīšanas pārbaudes, lai apstiprinātu parametru redirect_uri. Tomēr tas joprojām neatturēja Sanso apiet šīs pārbaudes, kad viņš septembrī sāka izmeklēt sistēmu.

PayPal ļauj izstrādātājiem izmantot informācijas paneli, kas var ģenerēt marķieru pieprasījumus, lai iesaistītu savas lietotnes pakalpojumā. Rezultātā iegūtie marķiera pieprasījumi tiek nosūtīti PayPal autorizācijas serverim. Tagad Sanso atrada kļūdu, kā PayPal atpazīst localhost kā derīgu parametru redirect_uri autentifikācijas procesa laikā. Viņš sacīja, ka šī metode ir nepareizi ieviesusi OAuth.

Spēļu vērtēšanas sistēmas spēlēšana

Pēc tam Sanso devās uz PayPal validācijas sistēmu un liek tai atklāt citādi konfidenciālos OAuth autentifikācijas marķierus. Viņam izdevās izkrāpt sistēmu, savai vietnei pievienojot noteiktu domēna vārdu sistēmas ierakstu, atzīmējot, ka localhost kalpoja kā burvju vārds, kas ignorē PayPal precīzās atbilstības validācijas procesu.

Saskaņā ar Sanso teikto, ievainojamība varēja apdraudēt jebkuru PayPal OAuth klientu. Viņš ieteica lietotājiem, veidojot OAuth klientu, izveidot ļoti specifisku redirect_uri. Sanso bloga ierakstā rakstīja:

DO reģistrējiet https: // yourouauthclientcom / oauth / oauthprovider / callback. NAV JUST https: // yourouauthclientcom / vai https: // yourouauthclientcom / oauth.

PayPal sākumā neticēja Sanso atklājumiem, lai gan uzņēmums galu galā pārskatīja savu lēmumu un tagad izdeva trūkumu novēršanu.

Lasīt arī:

• 7 labākā izmantojamā Windows 10 rēķinu programmatūra
• Seifs operētājsistēmai Windows 10 Mobile nodrošina Insiders bezkontakta mobilos maksājumus