Acesta este Brian Smith-Sweeney, el conduce riscul infosec la Two Sigma A ținut o prelegere la Black Hat în 2023 Cu doi ani înainte, în 2021, descoperise accidental o nouă vulnerabilitate în Oauth de la Google El subliniază că vectorul de atac nu se limitează la Google

@twosigma @BlackHatEvents nu are legătură cu vectorul pe care l-am postat, în afară de faptul că este și oauth Este mai ușor, necesitând consimțământ explicit, deși de la un serviciu Google primar la un alt serviciu Google primar Trucul este că nu este Google Este o terță parte care uzurpează identitatea Google și reușește

"Dacă le spui utilizatorilor să caute [o autorizație pentru o aplicație terță parte], nu o vor găsi"

@BlackHatEvents în cercetarea sa despre Google, observă un șir ciudat îl decodifică și caută documentația Acesta spune că serverul de autorizare Google ar trebui să returneze codul de autorizare *în bara de titlu a browserului*

@twosigma "Nu știu câți dintre voi ați fost vreodată implicați în dezvoltarea unui sistem securizat de transmitere a mesajelor sau de stocare a acreditărilor" "Nu știu dacă te-ai gândit vreodată, știi unde ar trebui să punem asta? puneți-l în bara de titlu a browserului" "Îmi este ușor să fac o glumă în retrospectivă"

@BlackHatEvents mi-a fost greu de crezut și m-am dus să mă uit la ea și eu

a fost real

După ce urmărește șirul decodat, îl găsește și la referire într-o listserv postarea este scrisă de un co-autor al multor specificații oauth, inclusiv RFC 8252, specificația oauth în cauză Nu are nimic frumos de spus

Acest vector are aceeași durabilitate ca cel pe care l-am postat Din nou, în stratul de autorizare, tokenurile OAuth sunt post-autentificare De asemenea, observă că, în cazul compromiterii contului, resetarea parolelor nu are niciun efect nici mecanismele tradiționale de recuperare în general

@BlackHatEvents chiar și în mecanismele API mai granulare ale Google Workspaces, el observă că controalele de acces nu afectează aplicațiile Google primare Aplicațiile Google primare sunt locul în care apare aplicația sa non-Google

Cam aici am aterizat și eu

@BlackHatEvents el avertizează în mod similar cu privire la jetoane oauth "Aceste lucruri trăiesc pentru totdeauna"

Îmi place felul în care se termină El spune că, aici, la Two Sigma, prețuim învățarea și studiul Apoi pleacă, dacă mă întrebi sau îmi spui ceva, unde oricare dintre noi învață ceva, îți dau niște swag de două sigma Deloc surprinzător, este un pachet de cărți