OAuth służy jako otwarty standard uwierzytelniania opartego na tokenach, stosowanego przez wielu gigantów internetowych, w tym PayPal. Właśnie dlatego odkrycie krytycznej wady w usłudze płatności online, która mogła pozwolić hakerom na kradzież tokenów OAuth od użytkowników, spowodowało, że PayPal zaczął się starać o wydanie poprawki.

Antonio Sanso, badacz bezpieczeństwa i inżynier oprogramowania Adobe, odkrył lukę po przetestowaniu własnego klienta OAuth. Oprócz PayPal Sanso wykryło również tę samą lukę w innych głównych serwisach internetowych, takich jak Facebook i Google.

Sanso twierdzi, że problem leży w sposobie, w jaki PayPal obsługuje parametr redirect_uri, aby dać aplikacjom określone tokeny uwierzytelnienia. Usługa korzysta z ulepszonych kontroli przekierowań w celu potwierdzenia parametru redirect_uri od 2015 r. Mimo to Sanso nie ominął tych kontroli, gdy zaczął badać system we wrześniu.

PayPal pozwala programistom korzystać z pulpitu nawigacyjnego, który może generować żądania tokenów, aby zarejestrować swoje aplikacje w usłudze. Otrzymane żądania tokena są następnie wysyłane do serwera autoryzacji PayPal. Teraz Sanso znalazł błąd w sposobie, w jaki PayPal rozpoznaje hosta lokalnego jako prawidłowy parametr redirect_uri podczas procesu uwierzytelniania. Powiedział, że ta metoda nieprawidłowo wdrożyła OAuth.

Granie w system sprawdzania poprawności

Następnie Sanso przeszedł do systemu walidacji PayPal i ujawnił poufne tokeny uwierzytelniające OAuth. Udało mu się oszukać system, dodając do swojej witryny pewien wpis systemu nazw domen, zauważając, że localhost służył jako magiczne słowo, które zastępuje proces dokładnego sprawdzania poprawności w systemie PayPal.

Luka ta mogła zagrozić dowolnemu klientowi PayPal OAuth według Sanso. Poradził użytkownikom, aby podczas tworzenia klienta OAuth utworzyli bardzo specyficzny redirect_uri. Sanso napisał w poście na blogu:

ZAREJESTRUJ https: // yourouauthclientcom / oauth / oauthprovider / callback. NIE TYLKO https: // yourouauthclientcom / lub https: // yourouauthclientcom / oauth.

PayPal początkowo nie wierzył w ustalenia Sanso, chociaż firma ostatecznie ponownie rozważyła swoją decyzję i teraz naprawiła wadę.

Czytaj także:

• 7 najlepszych programów do fakturowania w systemie Windows 10
• Portfel na Windows 10 Mobile zapewnia osobom z zewnątrz dostęp do płatności zbliżeniowych