Este é Brian Smith-Sweeney, ele lidera o risco de InfoSec em dois sigma Ele deu uma palestra na Black Hat em 2023 Dois anos antes, em 2021, ele descobriu acidentalmente uma nova vulnerabilidade no OAuth do Google Ele enfatiza que o vetor de ataque não se limita ao Google

@twosigma @BlackHatEvents não tem relação com o vetor que postei, além de também ser oauth É mais fácil, exigindo consentimento explícito, embora de um serviço primário do Google para outro serviço primário do Google O truque é que não é o Google É um terceiro se passando pelo Google e tendo sucesso

"Se você disser aos seus usuários para procurar [uma autorização para um aplicativo de terceiros], eles não o encontrarão"

@BlackHatEvents em sua pesquisa sobre o OAuth do Google, ele percebe alguma string estranha ele o decodifica e pesquisa a documentação Ele diz que o servidor de autorização do Google deve retornar o código de autorização *na barra de título do navegador*

@twosigma "Não sei quantos de vocês já estiveram envolvidos no desenvolvimento de um sistema seguro de passagem de mensagens ou armazenamento de credenciais" "Eu não sei se você já pensou, você sabe onde devemos colocar isso? coloque-o na barra de título do navegador" "É fácil para mim fazer uma piada em retrospectiva"

@BlackHatEvents foi difícil para mim acreditar, e eu mesmo fui olhar

era real

Depois de rastrear a string decodificada, ele também a encontra referenciada em um listserv a postagem é de um co-autor de muitas especificações oauth, incluindo RFC 8252, a especificação oauth em questão ele não tem nada de bom a dizer

Este vetor tem muito da mesma durabilidade que o que eu postei Novamente, na camada de autorização, os tokens OAuth são pós-autenticação Ele também observa que, em caso de comprometimento da conta, as redefinições de senha não têm efeito algum nem os mecanismos tradicionais de recuperação em geral

@BlackHatEvents mesmo nos mecanismos de API mais granulares do Google Workspaces, ele observa que os controles de acesso não afetam os aplicativos primários do Google O Google Apps primário é onde seu aplicativo que não é do Google aparece

Este é praticamente o lugar onde eu aterrissei também

@BlackHatEvents ele também alerta sobre tokens OAuth "Essas coisas vivem para sempre"

eu gosto do jeito que ele termina Ele diz que, aqui na Two Sigma, valorizamos o aprendizado e o estudo Então ele vai, se você me perguntar algo ou me disser algo, onde qualquer um de nós aprende alguma coisa, eu vou te dar alguns brindes de dois sigma Sem surpresa, é um baralho de cartas