10,1 тыс подписчиков
Заходя на новый для вас сайт, вы наверняка встречались с предложением авторизоваться с помощью уже имеющихся аккаунтов. Указываются как известные поисковики, так и социальные сети. В теории это называется стандарт Open Authorization (OAuth), который на практике должен сильно облегчить жизнь юзерам. Однако, как выяснили «безопасники» из Salt Labs, с OAuth все не так просто, как хотелось бы.
Исследователи решили проверить насколько защищены обычные пользователи, заходящие на новый сайт «из-под» Google или популярной социалки. И обнаружили многочисленные примеры критически опасных настроек API, значительно увеличивающих вероятность успешных хакерских атак на личные данные пользователя.
Самой большой угрозой парни из Salt Labs считают возможность перехвата злоумышленником универсального токена, ответственного за проверку подлинности передачи данных. Иными словами, представьте, что вы заходите на сайт при помощи OAuth. Ресурс сам по себе вполне заурядный и не вызывает никаких подозрений. Однако перехваченный токен, который теперь знает владелец такого фактически фишинг-сайт, помогает хакеру от вашего имени зайти на другие адреса, где вы уже авторизованы
«Мы проанализировали работу авторизации через социальные сети или поисковики на более чем десяти ресурсах самой различной направленности и обнаружили существование реальной угрозы для конфиденциальных данных 150-180 миллионов пользователей, которые заходят на эти сайты в течение месяца. Уверены, что проблема существует и на многих других ресурсах, где стандарт OAuth активно используется для логина или создания учетной записи» — пишут эксперты из Salt Labs
Специалисты отмечают, что сама по себе OAuth авторизация не является проблемной и вполне защищена. Однако ее фактическое применение требует определенных знаний, которыми должен обладать разработчик или владелец сайта. Также существуют уже готовые решения от различных сторонних софтовых компаний, предлагающих инструменты для контроля за процессом авторизации.
1 минута
26 октября 2023