Uma vulnerabilidade identificada na implementação do Open Authorization (OAuth) em uma plataforma online de desenvolvimento de aplicativos - utilizado por aplicativos e sites para estabelecer conexões com serviços como Google, Facebook, Twitter, Apple e outros - poderia permitir que cibercriminosos assumam o controle de contas de usuários, vazem ou tenham acesso a informações confidenciais, e até mesmo efetuem fraudes financeiras.

A falha foi descoberta pela equipe da Salt Security, uma empresa especializada em segurança de APIs. Especificamente, essa vulnerabilidade, identificada como CVE-2023-28131, foi encontrada na implementação do OAuth no Expo, uma framework de código aberto para o desenvolvimento de aplicativos móveis nativos para iOS, Android e outras plataformas web a partir de uma única base de código.

Este é o segundo caso - e o mais impactante - de vulnerabilidade no OAuth descoberto pelos pesquisadores da Salt. Em março, foi encontrada uma falha na implementação do OAuth pelo Booking.com, que poderia ter permitido aos invasores assumir contas de usuários, obter total acesso a dados pessoais ou de cartões de crédito, além de conseguir fazer login em contas na plataforma irmã do website, Kayak.com.

A Expo corrigiu a CVE-2023-28131 poucas horas após os pesquisadores da Salt sinalizarem o problema. Os desenvolvedores recomendaram, em uma postagem de blog detalhando a falha, que os clientes atualizem suas implementações do Expo para mitigar totalmente o risco.

As descobertas demonstram como as empresas são adversamente e amplamente afetadas quando frameworks de terceiros introduzem vulnerabilidades de API em seu ambiente, muitas vezes sem que elas tenham conhecimento disso. Isso coloca os clientes em risco de vazamento de credenciais ou de tomada de controle de conta, e oferece aos atores de ameaças uma plataforma a partir da qual podem lançar ataques adicionais.

Por causa da complexidade comprovada das implementações do OAuth, a Salt Security planeja lançar um guia de melhores práticas no futuro para ajudar as empresas a protegerem suas implementações de OAuth de forma eficaz.

Com informações do DarkReading

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

2 de Junho, 2023

Falha crítica em uma implementação do OAuth pode comprometer milhões de contas Online

Posts Recentes