dit is brian smith-sweeney, hij leidt infosec risico bij two sigma hij gaf een lezing op black hat in 2023 twee jaar eerder, in 2021, had hij per ongeluk een nieuwe kwetsbaarheid in google's oauth ontdekt hij benadrukt dat de aanvalsvector niet beperkt is tot google

@twosigma @BlackHatEvents het is niet gerelateerd aan de vector die ik heb gepost, behalve dat het ook oauth is het is gemakkelijker, vereist expliciete toestemming, zij het van een first-party Google-service naar een andere first-party Google-service de truc is, het is niet Google het is een derde partij die zich voordoet als Google, en dat lukt

"als je je gebruikers vraagt om te zoeken naar [een autorisatie voor een derde partij-app], gaan ze het niet vinden"

@BlackHatEvents in zijn onderzoek naar google's oauth, merkt hij een vreemde string op hij decodeert het en zoekt de documentatie op het zegt, de autorisatieserver van google zou de autorisatiecode moeten retourneren *in de titelbalk van de browser*

@twosigma "ik weet niet hoeveel van jullie ooit betrokken zijn geweest bij het ontwikkelen van een veilig berichtenoverdracht- of credentialopslagsysteem" "ik weet niet of jullie ooit hebben nagedacht, weet je waar we dat moeten plaatsen? Zet het in de browser titelbalk" "het is gemakkelijk voor mij om achteraf een grap te maken"

@BlackHatEvents het was moeilijk voor mij om te geloven, en ik ben zelf gaan kijken.

het was echt

nadat hij de gedecodeerde string heeft opgespoord, vindt hij deze ook terug in een lijstserv de post is van een co-auteur van veel oauth-specificaties, waaronder RFC 8252, de oauth-specificatie in kwestie hij heeft niets aardigs te zeggen

deze vector heeft veel van dezelfde duurzaamheid als degene die ik heb gepost opnieuw, in de autorisatielaag zijn oauth-tokens post-authenticatie ook hij merkt op dat in het geval van een accountcompromis, wachtwoordresets helemaal geen effect hebben evenmin hebben traditionele herstelmechanismen over het algemeen effect

@BlackHatEvents zelfs in de meer gedetailleerde API-mechanismen van Google Workspaces merkt hij op dat de toegangscontroles geen invloed hebben op de eerste-partij Google-apps eerste-partij Google-apps is waar zijn niet-Google-app verschijnt

dit is zo'n beetje waar ik ook ben beland

@BlackHatEvents waarschuwt hij ook voor oauth-tokens "die dingen leven voor altijd"

ik hou van de manier waarop hij eindigt hij zegt, hier bij Two Sigma waarderen we leren en studeren dan zegt hij, als je me iets vraagt of me iets vertelt, waar een van ons iets van leert, geef ik je wat Two Sigma swag geen verrassing, het is een deck kaarten