este es brian smith-sweeney, él lidera el riesgo de infosec en two sigma dio una charla en black hat en 2023 dos años antes, en 2021, había descubierto accidentalmente una nueva vulnerabilidad en el oauth de google él enfatiza que el vector de ataque no se limita a google

@twosigma @BlackHatEvents no está relacionado con el vector que publiqué, aparte de que también es oauth es más fácil, requiriendo consentimiento explícito, aunque de un servicio de google de primera parte a otro servicio de google de primera parte el truco es que no es google es un tercero que está suplantando a google y teniendo éxito

"si le dices a tus usuarios que busquen [una autorización para una aplicación de terceros], no la van a encontrar"

@BlackHatEvents en su investigación sobre oauth de google, nota una cadena extraña la decodifica y busca en la documentación dice que el servidor de autorización de google debería devolver el código de autorización *en la barra de título del navegador*

@twosigma "no sé cuántos de ustedes han estado involucrados en el desarrollo de un sistema seguro de intercambio de mensajes o almacenamiento de credenciales" "no sé si alguna vez han pensado, ¿saben dónde deberíamos poner eso? ponlo en la barra de título del navegador" "es fácil para mí hacer una broma en retrospectiva"

@BlackHatEvents me costó creerlo, y fui a verlo por mí mismo

fue real

después de rastrear la cadena decodificada, también la encuentra referenciada en una lista de correo la publicación es de un coautor de muchas especificaciones de oauth, incluyendo el RFC 8252, la especificación de oauth en cuestión no tiene nada agradable que decir

este vector tiene mucha de la misma durabilidad que el que publiqué nuevamente, en la capa de autorización, los tokens oauth son post autenticación tu también señala que en caso de compromiso de la cuenta, los restablecimientos de contraseña no tienen ningún efecto tampoco lo tienen los mecanismos de recuperación tradicionales en general

@BlackHatEvents incluso en los mecanismos de API más granulares de Google Workspaces, él señala que los controles de acceso no afectan a las aplicaciones de Google de primera parte. Las aplicaciones de Google de primera parte son donde aparece su aplicación que no es de Google.

esto es prácticamente donde también he aterrizado

@BlackHatEvents él advierte de manera similar sobre los tokens oauth "esas cosas viven para siempre"

me gusta la forma en que termina él dice, aquí en Two Sigma, valoramos el aprendizaje y el estudio luego dice, si me preguntas algo o me dices algo, donde cualquiera de los dos aprenda algo, te daré algo de merchandising de Two Sigma sin sorpresas, es un mazo de cartas