questo è brian smith-sweeney, è il responsabile del rischio infosec presso two sigma ha tenuto un intervento al black hat nel 2023 due anni prima, nel 2021, aveva scoperto accidentalmente una nuova vulnerabilità nell'oauth di google sottolinea che il vettore d'attacco non è limitato a google

@twosigma @BlackHatEvents non è correlato al vettore che ho postato, se non per il fatto che è anche oauth è più facile, richiedendo un consenso esplicito, sebbene da un servizio google di prima parte a un altro servizio google di prima parte il trucco è che non è google è un terzo che impersona google, e ci riesce

"se dici ai tuoi utenti di cercare [un'autorizzazione per un'app di terze parti], non la troveranno"

@BlackHatEvents nella sua ricerca su oauth di google, nota una stringa strana la decodifica e cerca nella documentazione dice che il server di autorizzazione di google dovrebbe restituire il codice di autorizzazione *nella barra del titolo del browser*

@twosigma "non so quanti di voi siano mai stati coinvolti nello sviluppo di un sistema di passaggio di messaggi sicuro o di archiviazione delle credenziali" "non so se ci avete mai pensato, sapete dove dovremmo mettere quella cosa? mettetela nella barra del titolo del browser" "è facile per me fare una battuta a posteriori"

@BlackHatEvents è stato difficile per me crederci, e sono andato a guardarlo di persona.

era reale

dopo aver rintracciato la stringa decodificata, trova anche un riferimento in una lista di discussione il post è di un co-autore di molte specifiche oauth, inclusa la RFC 8252, la specifica oauth in questione non ha nulla di carino da dire

questo vettore ha molta della stessa durata di quello che ho postato ancora una volta, nel livello di autorizzazione, i token oauth sono post autenticazione anche lui nota che nel caso di compromissione dell'account, i ripristini della password non hanno alcun effetto né i meccanismi di recupero tradizionali in generale

@BlackHatEvents anche nei meccanismi API più granulari di Google Workspaces, nota che i controlli di accesso non influenzano le app Google di prima parte le app Google di prima parte sono dove la sua app non Google appare

anche io sono praticamente arrivato qui

@BlackHatEvents avverte in modo simile riguardo ai token oauth "quelle cose vivono per sempre"

mi piace il modo in cui conclude dice, qui a Two Sigma, valorizziamo l'apprendimento e lo studio poi dice, se mi chiedi qualcosa o mi dici qualcosa, dove entrambi impariamo qualcosa, ti darò un po' di merchandising di Two Sigma non sorprendentemente, è un mazzo di carte