OAuth安全漏洞对多个在线公司的影响

重点总结

• Salt Labs发现多家公司社交登录和开放认证(OAuth)的安全漏洞，涉及Grammarly、Vidio和Bukalapak等。
• 这些漏洞可能导致凭证泄露和账户全面接管，虽然已经修复，但数千个使用社交登录的网站仍可能面临同样的攻击风险。
• 本研究报告是Salt Labs OAuth劫持系列的第三份，也是最终一份。

Salt Labs在周二披露了，这些漏洞存在于多个在线公司的社交登录和开放认证(OAuth)实现中，包括Grammarly、Vidio和Bukalapak。

在一篇中，SaltLabs表示，这些缺陷已经被修复，可能导致凭证泄露和账号全面接管。Salt的研究人员还报告称，全球数以千计使用社交登录机制的网站可能也存在同类型攻击的风险，这将使数十亿人面临威胁。

今天发布的研究结果标志着Salt LabsOAuth劫持系列的第三份也是最后一份报告，此前在和等网站也发现了类似漏洞。

OAuth是许多网站和网络服务青睐的登录方式，它允许用户通过社交媒体账户（如Google或Facebook）进行“一键”社交登录，从而验证身份并注册网站，而无需设置独特的用户名和密码组合。

SaltLabs的研究人员表示，对于这类登录，OAuth需要验证令牌以批准访问，但三家网站未能验证令牌。因此，研究人员能够将其他网站的令牌作为验证令牌插入，并利用名为“Pass-
The-Token Attack”的技术访问用户账户。

“我们发现的最重要问题是，尽管OAuth设计良好，并且主要的OAuth提供者如Google、Facebook等有很安全的服务器，但通常在实现OAuth的服务方会出现问题。”SaltLabs的研究副总裁YanivBalmas表示。“任何人都可以很容易地在网站上添加社交登录功能，无论是自行实现还是使用第三方解决方案。然而，如果没有正确的知识和意识，很容易留下漏洞，攻击者可以利用这些漏洞，并对所有网站用户造成严重影响。”

Keeper Security的安全与架构副总裁Patrick Tiquet表示，SaltLabs的研究强调了组织确保OAuth正确实施的必要性。虽然底层加密提供了强大的安全性，但隐秘的实现决策可能导致漏洞的出现。

“Tiquet强调，工程师在正确实施OAuth时应该考虑不同选项的作用，每次都有机会选择更安全的选项，并在选择默认选项之外的选项时评估潜在影响。大多数OAuth漏洞都是由于不当实施造成的，因此这类项目需要经验丰富的工程师和额外的代码审查时间。”

Qualys的首席威胁情报分析师Aubrey Perin补充道，公司应避免和禁止社交登录。

“相反，组织应该利用可以控制和审计的单点登录解决方案，将其作为全面的身份访问管理政策和程序的一部分，”Perin表示。