Este es Brian Smith-Sweeney, dirige el riesgo de seguridad de la información en Two Sigma Dio una charla en Black Hat en 2023 Dos años antes, en 2021, había descubierto accidentalmente una nueva vulnerabilidad en OAuth de Google Enfatiza que el vector de ataque no se limita a Google

@twosigma @BlackHatEvents no está relacionado con el vector que publiqué, aparte de que también es OAuth Es más fácil y requiere consentimiento explícito, aunque de un servicio de Google propio a otro servicio de Google propio El truco es que no es Google Es un tercero que se hace pasar por Google y tiene éxito

"Si les dices a tus usuarios que busquen [una autorización para una aplicación de terceros], no la encontrarán"

@BlackHatEvents en su investigación sobre OAuth de Google, nota una cadena extraña lo decodifica y busca en la documentación Dice que el servidor de autorización de Google debe devolver el código de autorización *en la barra de título del navegador*

@twosigma "No sé cuántos de ustedes han estado involucrados en el desarrollo de un sistema seguro de paso de mensajes o almacenamiento de credenciales" "No sé si alguna vez has pensado, ¿sabes dónde deberíamos poner eso? póngalo en la barra de título del navegador" "Es fácil para mí hacer una broma en retrospectiva"

@BlackHatEvents me costaba creerlo, y fui a verlo yo mismo

fue real

Después de rastrear la cadena decodificada, también encuentra que se hace referencia a ella en un listserv La publicación es de un coautor de muchas especificaciones de OAuth, incluida RFC 8252, la especificación de OAuth en cuestión no tiene nada bueno que decir

Este vector tiene gran parte de la misma durabilidad que el que publiqué Nuevamente, en la capa de autorización, los tokens de OAuth son posteriores a la autenticación Él también señala que en caso de compromiso de la cuenta, los restablecimientos de contraseñas no tienen ningún efecto tampoco lo hacen los mecanismos tradicionales de recuperación en general

@BlackHatEvents incluso en los mecanismos de API más granulares de Google Workspaces, señala que los controles de acceso no afectan a las aplicaciones de Google de origen Aplicaciones de Google de origen es donde aparece su aplicación que no es de Google

Aquí es más o menos donde he aterrizado yo también

@BlackHatEvents advierte de manera similar sobre los tokens OAuth "Esas cosas viven para siempre"

me gusta la forma en que termina Él dice, aquí en Two Sigma, valoramos el aprendizaje y el estudio Luego dice, si me preguntas algo o me dices algo, donde cualquiera de nosotros aprende algo, te daré un botín de dos sigma Como era de esperar, es una baraja de cartas