OAuth toimii avoimena standardina tunnusperusteiseen todennukseen, jota monet Internet-jättiläiset, mukaan lukien PayPal, käyttävät. Siksi havaitseminen online-maksupalvelussa kriittinen virhe, joka olisi voinut antaa hakkereille varastaa OAuth-tunnuksia käyttäjiltä, ​​lähetti PayPalin salauksen käyttämään korjaustiedoston.

Turvallisuustutkija ja Adobe-ohjelmistosuunnittelija Antonio Sanso löysi virheen testaamalla omaa OAuth-asiakasta. PayPalin lisäksi Sanso havaitsi saman haavoittuvuuden myös muissa tärkeimmissä Internet-palveluissa, kuten Facebookissa ja Googlessa.

Sanso sanoo, että ongelma johtuu tavasta, jolla PayPal käsittelee redirect_uri- parametria antamaan sovelluksille tietyt todennustunnukset. Palvelu on käyttänyt tehostettuja uudelleenohjauksen tarkastuksia redirect_uri-parametrin vahvistamiseksi vuodesta 2015. Silti se ei estänyt Sansoa ohittamasta näitä tarkastuksia, kun hän aloitti järjestelmän tutkinnan syyskuussa.

PayPalin avulla kehittäjät voivat käyttää hallintapaneelia, joka voi tuottaa tunnuspyyntöjä saadakseen sovelluksensa palveluun. Tuloksena olevat tokenipyynnöt lähetetään sitten PayPalin valtuutuspalvelimelle. Nyt Sanso löysi virheen, kuinka PayPal tunnistaa localhostin kelvolliseksi redirect_uri-parametriksi todennusprosessin aikana. Hänen mukaan tämä menetelmä toteutti OAuthin väärin.

Validointijärjestelmän pelaaminen

Sitten Sanso jatkoi pelin PayPalin validointijärjestelmää ja pyysi sitä paljastamaan muuten luottamukselliset OAuth-todennustunnukset. Hän onnistui huijaamaan järjestelmän lisäämällä tietyn verkkotunnusjärjestelmämerkinnän verkkosivustoonsa huomauttaen, että localhost toimi taikasanana PayPalin tarkan täsmäytysasteen tarkistusprosessin ohittamisessa.

Haavoittuvuus olisi voinut vaarantaa minkä tahansa PayPal OAuth -asiakkaan Sansen mukaan. Hän kehotti käyttäjiä luomaan erittäin tarkka redirect_uri tekeessään OAuth-asiakasohjelmaa. Sanso kirjoitti blogiviestissä:

TEE rekisteröidä https: // yourouauthclientcom / oauth / oauthprovider / callback. EI JUST https: // yourouauthclientcom / tai https: // yourouauthclientcom / oauth.

PayPal ei aluksi uskonut Sansen havaintoihin, vaikka yritys harkitsi lopulta päätöstään ja antoi nyt korjauksen virheeseen.

Lue myös:

• 7 parasta käytettävää Windows 10 -laskutusohjelmistoa
• Windows 10 Mobilen lompakko tuo kontaktivapaat mobiilimaksut Sisäpiiriin