これはブライアン・スミス・スウィーニーで、ツーシグマで情報セキュリティ・リスクを率いています 彼は2023年にBlack Hatで講演を行った 2年前の2021年、彼はGoogleのOAuthに新しい脆弱性を偶然発見しました 同氏は、攻撃ベクトルはグーグルに限定されないと強調する

@twosigma @BlackHatEvents、それは私が投稿したベクトルとは無関係で、それもoauthです これはより簡単で、ファーストパーティの Google サービスから別のファーストパーティの Google サービスへと移行するものの、明示的な同意が必要です トリックは、それはGoogleではないということです これは Google になりすまし、成功しているサードパーティです

「ユーザーに [サードパーティ アプリへの認証] を探すように指示しても、ユーザーはそれを見つけることができないでしょう。」

@BlackHatEvents、Google の OAuth を調査していると、奇妙な文字列に気づきました 彼はそれを解読し、ドキュメントを検索します Googleの認証サーバーは認証コードを返す必要があると書かれています *ブラウザーのタイトルバー内*

@twosigma 「安全なメッセージパッシングまたは資格情報ストレージシステムの開発に携わったことがある人が何人いるかわかりません」 「考えたことがあるかどうかはわかりませんが、それをどこに置くべきか知っていますか?ブラウザのタイトルバーに配置してください」 「後から考えると冗談を言うのは簡単です」

@BlackHatEvents信じられず、自分で見に行きました

それは本物でした

デコードされた文字列を追跡した後、ListServ で参照されている文字列も見つけます この投稿は、問題のOAuth 仕様であるRFC 8252を含む多くのOAuth 仕様の共著者によるものです 彼は良いことを言うことは何もありません

このベクターは、私が投稿したものとほぼ同じ耐久性を持っています 繰り返しになりますが、承認レイヤーでは、OAuth トークンは認証後です 彼もまた、アカウントが侵害された場合、パスワードのリセットはまったく効果がないと指摘しています また、従来の回復メカニズムも一般的にはそうではありません

@BlackHatEvents Google Workspace のより詳細な API メカニズムであっても、アクセス制御はファーストパーティの Google アプリには影響しないと彼は指摘しています ファーストパーティの Google Apps は、彼の Google 以外のアプリが表示される場所です

ここも私がたどり着いたところです

@BlackHatEvents彼は同様に oauth トークンについて警告しています 「あのものは永遠に生きる」

私は彼の終わり方が好きです 彼は、ここツーシグマでは、学びと勉強を大切にしていると言います それから彼は、あなたが私に何かを尋ねたり、何かを言ったりしたら、私たちどちらかが何かを学んだら、ツーシグマのグッズをくれます 当然のことながら、それはカードデッキです