„OAuth“ tarnauja kaip atviras ženklo pagrindu pagrįsto autentifikavimo standartas, kurį naudoja daugelis interneto milžinų, įskaitant „PayPal“. Štai kodėl atradus kritinę internetinių mokėjimų paslaugos spragą, kuri galėjo įsilaužėliams leisti vartotojams pavogti „OAuth“ žetonus, „PayPal“ iššifravo, kad būtų išplėstas pleistras.

Antonio Sanso, saugumo tyrinėtojas ir „Adobe“ programinės įrangos inžinierius, aptiko trūkumą išbandęs savo „OAuth“ klientą. Be „PayPal“, „Sanso“ aptiko tą patį pažeidžiamumą ir kitose pagrindinėse interneto paslaugose, tokiose kaip „Facebook“ ir „Google“.

Sanso sako, kad problema yra ta, kaip „PayPal“ tvarko parametrą „ redirect_uri“, kad suteiktų programoms tam tikrus autentifikavimo žetonus. Ši tarnyba nuo 2015 m. Naudoja patobulintus peradresavimo patikrinimus, kad patvirtintų parametrą „redirect_uri“. Vis dėlto tai nesustabdė „Sanso“ apeiti šiuos patikrinimus, kai jis rugsėjį pradėjo tirti sistemą.

„PayPal“ leidžia kūrėjams naudoti informacijos suvestinę, kuri gali pateikti žetonų užklausas, kad įtrauktų savo programas į paslaugą. Gautos prieigos rakto užklausos tada siunčiamos į „PayPal“ autorizacijos serverį. Dabar „Sanso“ rado klaidą, kaip „PayPal“ atpažįsta „localhost“ kaip galiojantį „redirect_uri“ parametrą autentifikavimo proceso metu. Jis teigė, kad šis metodas neteisingai įgyvendino „OAuth“.

Žaidimų patvirtinimo sistema

Tada „Sanso“ perėjo prie „PayPal“ patikros sistemos ir paprašė jos atskleisti kitaip konfidencialius „OAuth“ autentifikavimo žetonus. Jam pavyko apgauti sistemą, pridedant tam tikrą domenų vardų sistemos įrašą į savo svetainę, pažymint, kad „localhost“ tarnavo kaip stebuklingas žodis, nurodantis tikslią „PayPal“ atitikimo patikrinimo procedūrą.

Anot „Sanso“, pažeidžiamumas galėjo pakenkti bet kuriam „PayPal OAuth“ klientui. Jis patarė vartotojams, kuriant „OAuth“ klientą, sukurti labai specifinį „redirect_uri“. Sanso tinklaraščio įraše rašė:

UŽregistruokite https: // yourouauthclientcom / oauth / oauthprovider / callback. NEBŪTINAI https: // yourouauthclientcom / arba https: // yourouauthclientcom / oauth.

„PayPal“ iš pradžių nepatikėjo „Sanso“ išvadomis, nors įmonė galų gale persvarstė savo sprendimą ir dabar paskelbė trūkumo pataisą.

Taip pat skaitykite:

• 7 geriausia naudoti „Windows 10“ sąskaitų faktūrų programinė įranga
• „Windows 10 Mobile“ piniginė suteikia „Insiders“ bekontakčius mokėjimus mobiliesiems