開源平臺Expo Framework 曝出高危漏洞，攻擊者可劫持海量賬戶

近日，安全專家披露，Expo 框架中存在一個高危的OAuth安全漏洞( CVE-2023-28131 ，CVSS評分為9.6)，可被攻擊者利用來劫持竊取各類在線服務中的用戶數據。

使用 Expo 的站點和應用程序如果使用的是 Google 和 Facebook 等第三方提供商為單點登錄 (SSO) 配置 AuthSession 代理設置，攻擊者就可以利用該漏洞劫持受害用戶在各種平臺（例如 Facebook、Google 或 Twitter）的賬戶，執行任意操作。

Expo 類似于 Electron，是一個開源平臺，用于開發在 Android、iOS 和 Web 上運行的通用原生應用程序。Expo使開發人員能夠使用單一代碼庫創建原生 iOS、Android 和 Web 應用程序。該平臺具有一系列旨在簡化和加快開發過程的工具、庫和服務。

換句話說，可以利用該漏洞將與登錄提供商（例如 Facebook）關聯的秘密令牌發送到參與者控制的域，并使用它來奪取對受害者帳戶的控制權。

反過來，這是通過誘使目標用戶點擊特制鏈接來實現的，該鏈接可以通過電子郵件、短信或可疑網站等傳統社會工程載體發送。

依賴此框架的服務容易受到憑據泄露的影響，并且可能允許對客戶賬戶進行大規模賬戶接管 (ATO)，可能會影響使用 Facebook、Google、Apple 或 Twitter 帳戶使用 Expo 登錄在線服務的任何人。

Salt Security 的研究機構 Salt Labs 解釋說，在發現該漏洞后，它立即將其披露給 Expo，Expo迅速修復了該漏洞。

Expo 在一份公告中表示，它在 2023 年 2 月 18 日負責任地披露后數小時內部署了一個修補程序。還建議用戶從使用AuthSession API 代理遷移到直接向第三方身份驗證提供商注冊深層鏈接 URL 方案以啟用 SSO 功能.

值得一提的是，該漏洞是在 Expo 的開放授權 (OAuth) 社交登錄功能的實施方式中發現的。 安全專家表示，隨著 OAuth 迅速成為行業常態，惡意人士不斷尋找其中的安全漏洞。

“OAuth 的錯誤實施可能會對公司和客戶產生重大影響，因為他們會暴露寶貴的數據，而且組織必須隨時了解其平臺中存在的安全風險。”