Це Брайан Сміт-Суїні, він очолює відділ ризиків інформаційної безпеки в Two sigma Він виступив з доповіддю на Black Hat ще у 2023 році За два роки до цього, у 2021 році, він випадково виявив нову вразливість в OAuth від Google Він наголошує, що вектор атаки не обмежується Google

@twosigma @BlackHatEvents це не пов'язано з вектором, який я опублікував, крім того, що це також oauth Це простіше, вимагає явної згоди, хоча й від основного сервісу Google до іншого основного сервісу Google Фішка в тому, що це не Google Це третя сторона, яка видає себе за Google і досягає успіху

"Якщо ви скажете своїм користувачам шукати [авторизацію в сторонньому додатку], вони його не знайдуть"

@BlackHatEvents у своєму дослідженні oauth Google він помічає якийсь дивний рядок Він розшифровує її та шукає в документації Там написано, що сервер авторизації Google повинен повернути код авторизації *у рядку заголовка браузера*

@twosigma «Я не знаю, скільки з вас коли-небудь займалися розробкою безпечної системи передачі повідомлень або зберігання облікових даних» "Я не знаю, чи ви коли-небудь думали, знаєте, куди ми повинні це покласти? помістіть його в рядок заголовка браузера" "Мені легко пожартувати заднім числом"

@BlackHatEvents мені було важко в це повірити, і я сам пішов подивитися на це

Це було реально

Після того, як він відстежить розшифрований рядок, він також знаходить посилання на нього в списку допис написано співавтором багатьох специфікацій OAUTH, включаючи RFC 8252, специфікацію oauth, про яку йде мова Йому нема чого сказати приємного

Цей вектор має приблизно таку ж стійкість, як і той, який я опублікував Знову ж таки, на рівні авторизації токени OAUTH проходять пост-аутентифікацію Він також зазначає, що у разі компрометації облікового запису скидання пароля не має жодного ефекту Так само як і традиційні механізми відновлення в цілому

@BlackHatEvents навіть у більш деталізованих механізмах API Google Workspaces, він зазначає, що контроль доступу не впливає на власні додатки Google Власні додатки Google – це місце, де з'являється його додаток не Google

Це майже те місце, де я теж приземлився

@BlackHatEvents він аналогічно попереджає про токени oauth «Ті речі живуть вічно»

Мені подобається, як він закінчує Він каже, що тут, у Two Sigma, ми цінуємо вчитися та вчитися Потім він іде, якщо ти мене щось запитаєш або щось розкажеш, де хтось із нас чогось навчиться, я дам тобі якусь дві сигми Не дивно, що це колода карт