OAuth实施缺陷导致数亿网民面临账户接管风险

近日，研究人员曝光OAuth（开放授权）标准在多个知名网站的实施存在缺陷，使攻击者能够接管用户账户，这意味着数亿用户面临凭证盗窃、金融欺诈和其他网络犯罪活动风险。

Salt Labs的研究人员在10月24日发布的一份报告中透露，他们发现Grammarly（一种基于人工智能的写作工具）、Vidio（在线流媒体平台）和Bukalapak（印度尼西亚电商网站）等公司网站上存在关键API配置错误。研究人员认为很可能还有许多其他网站存在同样的漏洞。

OAuth是一种广泛实施的跨平台身份验证标准，用于简化用户登录的“通行证”：用户可用一个社交媒体账户登录多个网站，例如“使用Facebook登录”或“使用Google登录”。

研究人员最近发现的OAuth实施缺陷是他们在过去几个月中发现的OAuth系列问题中的一部分。此前，Salt研究人员曾发现Booking.com网站和Expo（一个用于使用单一代码库开发iOS、Android和其他Web平台的原生移动应用的开源框架）中存在类似的OAuth缺陷，允许攻击者接管账户并完全查看用户的个人或支付卡数据。Booking.com的缺陷还可能允许攻击者登录其姐妹平台Kayak.com。

研究人员将Vidio、Grammarly和Bukalapak中发现的新漏洞称为“传递令牌”缺陷，攻击者可能使用同一个令牌（用于验证交接的唯一、秘密的站点标识符）从攻击者拥有或控制的第三方站点登录到另一个服务。

例如，如果一个用户登录到一个名为mytimeplanner.com的站点（该站点由攻击者拥有），攻击者则可以使用用户的令牌代表他登录到其他站点，例如Grammarly。

研究人员分别在2月和4月在Vidio、Bukalapak和Grammarly中发现了上述漏洞，并相继通知了这三家公司，这三家公司都及时作出了回应。这些服务中的所有配置错误都已得到解决，但故事并未就此结束。

“这三个站点足以证明我们的判断，我们决定不再寻找其他目标，”报告中写道，“但我们预计还有数千个其他网站容易受到OAuth配置错误的威胁，每天都会让数十亿互联网用户面临风险。”

OAuth本身设计得很好，像Google和Facebook这样的主要OAuth提供商在后端都有安全服务器保护他们。然而，那些开发利用该标准进行身份验证交接的服务和站点的开发人员经常会制造问题，导致这些站点看起来运行正常，实际上存在严重的安全隐患。

研究人员指出，将社交登录功能添加到网站很容易，但如果没有足够的知识和意识，很容易留下漏洞，并对所有网站用户产生非常严重的影响。因此，实施OAuth的站点的开发人员在将标准部署到站点中之前需要确保对OAuth的工作方式和可能被滥用的常见陷阱有充分的了解。

开发人员还可以使用监视异常行为的第三方工具识别未知攻击，为站点及其所有用户提供额外的安全保障。

参考链接：

https://salt.security/blog/oh-auth-abusing-oauth-to-take-over-millions-of-accounts