OAuth servește ca un standard deschis pentru autentificarea bazată pe jetoane, utilizată de mulți giganți de internet, inclusiv PayPal. Acesta este motivul pentru care descoperirea unui defect critic în serviciul de plăți online care ar fi putut permite hackerilor să fure jetoane OAuth de la utilizatori a trimis PayPal scrambling pentru a lansa un plasture.

Antonio Sanso, cercetător în securitate și inginer software Adobe, a descoperit defectul după ce și-a testat propriul client OAuth. În plus față de PayPal, Sanso a detectat aceeași vulnerabilitate și în alte servicii majore de internet, cum ar fi Facebook și Google.

Sanso spune că problema constă în modul în care PayPal gestionează parametrul redirect_uri pentru a oferi aplicațiilor anumite jetoane de autentificare. Serviciul utilizează verificări redirecționate îmbunătățite pentru a confirma parametrul redirect_uri din 2015. Totuși, Sanso nu a oprit aceste verificări atunci când a început să investigheze sistemul în septembrie.

PayPal le permite dezvoltatorilor să folosească un tablou de bord care poate produce cereri de jetoane pentru a-și înscrie aplicațiile cu serviciul. Cererile de token rezultate sunt apoi trimise către un server de autorizare PayPal. Acum, Sanso a găsit o eroare în modul în care PayPal recunoaște un localhost ca parametru redirect_uri valabil în timpul procesului de autentificare. El a spus că această metodă a implementat greșit OAuth.

Sistemul de validare a jocurilor

Apoi, Sanso a trecut la sistemul de validare al jocului PayPal și a dezvăluit jetoanele de autentificare OAuth, în caz contrar. El a reușit să păcălească sistemul adăugând o anumită intrare de sistem de nume de domeniu pe site-ul său web, menționând că localhost a servit drept cuvântul magic pentru a depăși procesul de validare exact al PayPal.

Vulnerabilitatea ar fi putut compromite orice client PayPal OAuth potrivit Sanso. El a sfătuit utilizatorii să creeze un redirect_uri foarte specific atunci când fac un client OAuth. Sanso a scris într-o postare pe blog:

NU înregistrați https: // yourouauthclientcom / oauth / oauthprovider / callback. NU DOAR https: // yourouauthclientcom / sau https: // yourouauthclientcom / oauth.

PayPal nu a crezut la început de concluziile lui Sanso, deși compania și-a reconsiderat în cele din urmă decizia și a emis acum o soluție la defect.

Citește și:

• 7 cel mai bun software de facturare Windows 10 de utilizat
• Portofelul pentru Windows 10 Mobile aduce plăți mobile fără contact către Insideri