das ist Brian Smith-Sweeney, er leitet das Infosec-Risiko bei Two Sigma er hielt 2023 einen Vortrag bei Black Hat zwei Jahre zuvor, 2021, hatte er zufällig eine neue Schwachstelle in Googles OAuth entdeckt er betont, dass der Angriffsvektor nicht auf Google beschränkt ist

@twosigma @BlackHatEvents es steht in keinem Zusammenhang mit dem Vektor, den ich gepostet habe, außer dass es auch oauth ist es ist einfacher, da es eine ausdrückliche Zustimmung erfordert, wenn auch von einem First-Party-Google-Dienst zu einem anderen First-Party-Google-Dienst das Problem ist, es ist nicht Google es ist ein Drittanbieter, der sich als Google ausgibt und erfolgreich ist

"Wenn du deinen Nutzern sagst, sie sollen nach [einer Autorisierung für eine Drittanbieter-App] suchen, werden sie sie nicht finden."

@BlackHatEvents hat in seiner Forschung zu Googles OAuth einige merkwürdige Zeichenfolgen bemerkt. Er dekodiert sie und durchsucht die Dokumentation. Dort steht, dass der Autorisierungsserver von Google den Autorisierungscode zurückgeben sollte. *in der Titelleiste des Browsers*

@twosigma "Ich weiß nicht, wie viele von euch jemals an der Entwicklung eines sicheren Nachrichtenaustausch- oder Berechtigungsspeichersystems beteiligt waren." "Ich weiß nicht, ob ihr jemals darüber nachgedacht habt, wisst ihr, wo wir das hinpacken sollten? Packt es in die Browser-Title-Leiste." "Es ist einfach für mich, im Nachhinein einen Witz zu machen."

@BlackHatEvents es fiel mir schwer zu glauben, und ich habe es mir selbst angesehen.

es war echt

Nachdem er die dekodierte Zeichenfolge gefunden hat, findet er sie auch in einer Mailingliste erwähnt. Der Beitrag stammt von einem Mitautor vieler OAuth-Spezifikationen, einschließlich RFC 8252, der betreffenden OAuth-Spezifikation. Er hat nichts Nettes zu sagen.

Dieser Vektor hat eine ähnliche Haltbarkeit wie der, den ich gepostet habe Noch einmal, in der Autorisierungsebene sind OAuth-Token nach der Authentifizierung Er merkt auch an, dass im Falle eines Kontokompromisses Passwortzurücksetzungen überhaupt keine Wirkung haben Traditionelle Wiederherstellungsmechanismen haben im Allgemeinen ebenfalls keine Wirkung

@BlackHatEvents selbst in den detaillierteren API-Mechanismen von Google Workspaces merkt er an, dass die Zugriffskontrollen keine Auswirkungen auf die First-Party-Google-Apps haben. First-Party-Google-Apps ist der Ort, an dem seine Nicht-Google-App erscheint.

das ist ziemlich genau dort, wo ich auch gelandet bin

@BlackHatEvents warnt ebenfalls vor oauth-Token "diese Dinge leben ewig"

Ich mag, wie er endet Er sagt, hier bei Two Sigma schätzen wir Lernen und Studieren Dann sagt er, wenn du mir etwas fragst oder mir etwas sagst, bei dem wir beide etwas lernen, gebe ich dir ein bisschen Two Sigma Merchandise Nicht überraschend ist es ein Kartenspiel