Το OAuth χρησιμεύει ως ένα ανοικτό πρότυπο για τον έλεγχο ταυτότητας που βασίζεται σε διακριτικά, που χρησιμοποιείται από πολλούς διαδικτυακούς γίγαντες, συμπεριλαμβανομένου του PayPal. Αυτός είναι ο λόγος για τον οποίο η ανακάλυψη ενός κρίσιμου ελαττώματος στην υπηρεσία πληρωμών μέσω διαδικτύου που θα μπορούσε να έχει επιτρέψει στους χάκερ να κλέψουν μάρκες OAuth από χρήστες έχει στείλει την κρυπτογράφηση του PayPal για να αναπτύξει μια ενημερωμένη έκδοση κώδικα.

Ο Antonio Sanso, ερευνητής ασφάλειας και μηχανικός λογισμικού της Adobe, ανακάλυψε το ελάττωμα αφού εξέτασε τον δικό του πελάτη OAuth. Εκτός από το PayPal, η Sanso ανίχνευσε επίσης την ίδια ευπάθεια σε άλλες σημαντικές υπηρεσίες διαδικτύου όπως το Facebook και το Google.

Ο Sanso λέει ότι το πρόβλημα έγκειται στον τρόπο με τον οποίο το PayPal χειρίζεται την παράμετρο redirect_uri για να δώσει στις εφαρμογές ορισμένα μάρκες ταυτότητας. Η υπηρεσία χρησιμοποίησε ενισχυμένους ελέγχους ανακατεύθυνσης για να επιβεβαιώσει την παράμετρο redirect_uri από το 2015. Ωστόσο, δεν εμπόδισε τον Sanso να παρακάμψει τους ελέγχους αυτούς όταν άρχισε να ερευνά το σύστημα τον Σεπτέμβριο.

Το PayPal επιτρέπει στους προγραμματιστές να χρησιμοποιούν έναν πίνακα ελέγχου που μπορεί να δημιουργήσει αιτήματα συμβολοσειρών για να προσελκύσουν τις εφαρμογές τους στην υπηρεσία. Τα αιτήματα των κουπονιών που προκύπτουν στη συνέχεια αποστέλλονται σε ένα διακομιστή εξουσιοδότησης PayPal. Τώρα, ο Sanso βρήκε ένα λάθος στο πώς το PayPal αναγνωρίζει ένα localhost ως μια έγκυρη παράμετρο redirect_uri κατά τη διάρκεια της διαδικασίας ελέγχου ταυτότητας. Είπε ότι αυτή η μέθοδος κακή εφαρμογή OAuth.

Τυλίξτε το σύστημα επικύρωσης

Στη συνέχεια, ο Sanso συνέχισε το σύστημα επικύρωσης του PayPal του παιχνιδιού και αποκάλυψε τα κατά τα άλλα εμπιστευτικά μάρκες ελέγχου ταυτότητας OAuth. Κατόρθωσε να εξαπατήσει το σύστημα προσθέτοντας μια συγκεκριμένη καταχώρηση συστήματος ονόματος τομέα στην ιστοσελίδα του, σημειώνοντας ότι το localhost χρησίμευσε ως μαγική λέξη για την επικείμενη διαδικασία επικύρωσης της ακριβούς αντιστοίχισης του PayPal.

Η ευπάθεια θα μπορούσε να θέσει σε κίνδυνο οποιονδήποτε πελάτη του PayPal OAuth σύμφωνα με τον Sanso. Έχει συμβουλεύσει τους χρήστες να δημιουργήσουν ένα πολύ συγκεκριμένο redirect_uri κατά την πραγματοποίηση ενός πελάτη OAuth. Sanso έγραψε σε μια θέση blog:

DO καταχωρήστε https: // yourouauthclientcom / oauth / oauthprovider / callback. NOT JUST https: // yourouauthclientcom / ή https: // yourouauthclientcom / oauth.

Το PayPal δεν πίστευε αρχικά τα πορίσματα της Sanso, αν και η εταιρεία τελικά επανεξέτασε την απόφασή της και τώρα εξέδωσε μια λύση για το ελάττωμα.

Διαβάστε επίσης:

• 7 καλύτερο λογισμικό τιμολόγησης των Windows 10 για χρήση
• Το Πορτοφόλι για Windows 10 Mobile φέρνει τις επαφές κινητής τηλεφωνίας χωρίς σύνδεση σε Insiders