世博平臺中的OAuth漏洞影響數百個第三方網站,應用程序
全球網絡安全資訊2023-05-25 17:59:30
在實施社交登錄功能時發現的網絡安全漏洞為帳戶接管等打開了大門。
網站和應用程序用于連接到Facebook,Google,Apple,Twitter等的開放授權(OAuth)標準實施中的漏洞可能允許攻擊者接管用戶帳戶,訪問和/或泄露敏感信息,甚至進行金融欺詐。
當用戶登錄到網站并單擊鏈接以使用另一個社交媒體帳戶登錄時,OAuth就會發揮作用,例如“使用Facebook登錄”或“使用Google登錄” - 許多網站都使用該功能允許跨平臺身份驗證。API安全公司Salt Security的Salt Labs的一個團隊在Expo的OAuth實施中發現了這個漏洞,跟蹤CVE-2023-28131,Expo是一個開源框架,用于使用單個代碼庫為iOS,Android和其他Web平臺開發本機移動應用程序。
具體來說,研究人員發表的一篇博客文章中透露,該漏洞可能會影響使用各種社交媒體帳戶登錄使用該框架的在線服務的任何用戶。
該漏洞是Salt研究人員在在線平臺實施OAuth時發現的第二個也是更具影響力的漏洞,OAuth被證明是一個難以安全實施的標準。今年三月,Salt在Booking.com實施OAuth時發現了一個漏洞,該漏洞可能允許攻擊者接管用戶帳戶并全面了解其個人或支付卡數據,以及登錄該網站的姊妹平臺 Kayak.com 上的帳戶。
全球網絡安全資訊
暫無描述