Tämä on Brian Smith-Sweeney, hän johtaa tietoturvariskiä Two Sigmassa Hän piti puheen Black Hatissa vuonna 2023 Kaksi vuotta aiemmin, vuonna 2021, hän oli vahingossa löytänyt uuden haavoittuvuuden Googlen OAuthista Hän korostaa, että hyökkäysvektori ei rajoitu Googleen

@twosigma @BlackHatEvents se ei liity lähettämääni vektoriin, paitsi että se on myös oauth Se on helpompi ja vaatii nimenomaisen suostumuksen, vaikkakin ensimmäisen osapuolen Google-palvelusta toiseen ensimmäisen osapuolen Google-palveluun Juju on, että se ei ole Google Se on kolmas osapuoli, joka esiintyy Googlena, ja menestyy

"Jos käsket käyttäjiäsi etsimään [valtuutusta kolmannen osapuolen sovellukseen], he eivät löydä sitä."

@BlackHatEvents Googlen oauth-tutkimusta tutkiessaan hän huomaa jonkin oudon merkkijonon Hän purkaa sen ja etsii dokumentaatiosta Siinä sanotaan, että Googlen valtuutuspalvelimen pitäisi palauttaa valtuutuskoodi *selaimen otsikkorivillä*

@twosigma "En tiedä, kuinka moni teistä on koskaan ollut mukana kehittämässä suojattua viestien välitys- tai tunnistetietojen tallennusjärjestelmää" "En tiedä, oletko koskaan ajatellut, tiedätkö, mihin meidän pitäisi laittaa se? laita se selaimen otsikkoriville" "Minun on helppo vitsailla jälkikäteen"

@BlackHatEvents minun oli vaikea uskoa, ja menin katsomaan sitä itse

se oli todellista

Kun hän on jäljittänyt dekoodatun merkkijonon, hän löytää siihen myös viitatun listservissä Viesti on kirjoittanut monien OAuth-spesifikaatioiden kirjoittaja, mukaan lukien RFC 8252, kyseinen OAuth-spesifikaatio hänellä ei ole mitään mukavaa sanottavaa

Tällä vektorilla on pitkälti sama kestävyys kuin lähettämälläni Valtuutuskerroksessa OAuth-tunnukset ovat jälleen todennuksen jälkeisiä Hänkin huomauttaa, että jos tili vaarantuu, salasanan nollauksella ei ole mitään vaikutusta eivätkä perinteiset perintämekanismit yleensä

@BlackHatEvents jopa Google Workspacesin yksityiskohtaisemmissa API-mekanismeissa hän huomauttaa, että käyttöoikeuksien hallinta ei vaikuta ensimmäisen osapuolen Google-sovelluksiin Ensimmäisen osapuolen Google Apps on paikka, jossa hänen ei-Google-sovelluksensa näkyy

Tänne minäkin olen päätynyt

@BlackHatEvents hän varoittaa samalla tavalla oauth-merkeistä "Nuo asiat elävät ikuisesti"

Pidän tavasta, jolla hän päättyy Hän sanoo, että me täällä Two Sigmassa arvostamme oppimista ja opiskelua Sitten hän sanoo, että jos kysyt minulta jotain tai kerrot jotain, jos jompikumpi meistä oppii jotain, annan sinulle kaksi sigmaa Ei ole yllättävää, että se on korttipakka