OAuth slúži ako otvorený štandard pre autentifikáciu založenú na tokenoch, ktorú používa mnoho internetových gigantov vrátane PayPal. Preto objavenie kritickej chyby v službe online platieb, ktorá by mohla umožniť hackerom ukradnúť tokeny OAuth od používateľov, poslalo šifrovanie PayPal na zavedenie opravy.

Antonio Sanso, výskumný pracovník v oblasti bezpečnosti a softvérový inžinier spoločnosti Adobe, objavili chybu po otestovaní svojho vlastného klienta OAuth. Okrem služby PayPal zistila spoločnosť Sanso rovnakú zraniteľnosť aj v iných významných internetových službách, ako sú Facebook a Google.

Sanso tvrdí, že problém spočíva v tom, ako PayPal spracúva parameter redirect_uri, aby poskytol aplikáciám určité autentizačné tokeny. Táto služba používa rozšírené kontroly presmerovania na potvrdenie parametra redirect_uri od roku 2015. Napriek tomu nezastavila Sanso v obchádzaní týchto kontrol, keď začal vyšetrovať systém v septembri.

PayPal umožňuje vývojárom používať informačný panel, ktorý môže vytvárať požiadavky na tokeny, aby zaregistroval svoje aplikácie do služby. Výsledné požiadavky na tokeny sa potom odošlú na autorizačný server PayPal. Teraz Sanso našlo chybu v tom, ako PayPal rozpoznáva localhost ako platný parameter redirect_uri počas procesu autentifikácie. Povedal, že táto metóda nesprávne implementovala OAuth.

Hranie validačného systému

Sanso potom pokračoval v overovacom systéme PayPal a nechal ho odhaliť inak dôverné tokeny autentifikácie OAuth. Podarilo sa mu tento systém oklamať tak, že na svoju webovú stránku pridal určitý vstup do systému doménových mien a všimol si, že localhost slúžil ako kúzelné slovo na potlačenie procesu overenia presnosti zhody PayPal.

Táto chyba zabezpečenia mohla podľa Sanso ohroziť ktoréhokoľvek klienta služby PayPal OAuth. Odporúčal používateľom, aby pri vytváraní klienta OAuth vytvorili veľmi špecifický redirect_uri. Sanso napísal do blogu príspevok:

Zaregistrujte sa https: // yourouauthclientcom / oauth / oauthprovider / callback. NIE JE MOŽNÉ https: // yourouauthclientcom / alebo https: // yourouauthclientcom / oauth.

PayPal spočiatku neveril zisteniam spoločnosti Sanso, hoci spoločnosť nakoniec prehodnotila svoje rozhodnutie a teraz opravila chybu.

Prečítajte si tiež:

• 7 najlepších fakturačných programov pre systém Windows 10
• Peňaženka pre Windows 10 Mobile prináša zasielateľom bezkontaktné mobilné platby