Jelszóhalász sérülékenységet iktatott ki a PayPal, mellyel egy támadó gyakorlatilag bármilyen OAuth tokent megszerezhetett volna a fizetésre szolgáló appból, ezzel pedig jogosulatlan hozzáférést kaphatott volna az adott számlához. Talán ecsetelni sem kell, milyen következményeket hordozott a sebezhetőség magában.

Antonio Sanso, az Adobe szoftvermérnöke fedezte fel a token kérelemben rejlő, URL-átirányítás kapcsán felbukkanó hibát. Rájött, hogy a PayPal hitelesítőszerverének setupja, ami az OAuth-tokenkérelmeket a fejlesztői dashboardon keresztül kezeli, egy módosítással rávehető, hogy elfogadja a localhostot redirect_uriként, vagyis olyan helyként, ahova a tokeneknek el kellene jutniuk.

Még ha a PayPal pontos egyezés-hitelesítést is hajt végre, a localhost varázsütésszerűen képes teljesen felülírni ezt a hitelesítést, árulta el Sanso.

Nem fontos. Fontos, javítjuk. Nagyon fontos, még egyszer javítjuk!

A PayPal a hónap elején egyszer már megpróbálta eltüntetni a hibát, úgy látszik, kevés sikerrel. Mindez azt követően történt, hogy szeptemberben, amikor a hiba először felbukkant, az online fizetési rendszer azt állította a biztonsági résről, hogy az nem is igazi sebezhetőség.

Annak ellenére, hogy ez már nem az első ilyen jellegű jelentés az OAuth kapcsán. Maga Sanso fordult még 2014-ben a Facebookhoz néhány hasonló, redirect_uri hibával, melyek lehetővé tették OAuth tokekenek eltulajdonítását.

Ezekből okulva az Adobe szoftvermérnöke azt javasolta, hogy minden fejlesztőnek, aki OAuth-ot használ, figyelembe kellene venni felfedezését. A teljes és pontos redirect_uri címeket kell(ene) regisztrálniuk úgy, hogy nem engedélyeznek másodszintű átirányításokat, megvédve ezzel alkalmazásaikat a hasonló problémáktól.

Nincsen 100 százalékos biztonság

Nem ez az első, és vélhetően nem is az utolsó biztonsági hiba, ami a PayPalt érinti. Még tavaly augusztusban fedeztek fel egy elsősorban adatlopásra lehetőséget adó sebezhetőséget a vállalat weboldalán. A dolog azért volt izgalmas, mert júniusban találták a biztonsági rést, és értesítették róla a PayPal biztonsági csapatát, ám ők a javításokkal csak augusztus végére készültek el. A sebezhetőség ún. XSS (cross-site scripting) alapú támadásokra ad módot, ráadásul nagyon egyszerűen. A támadónak arra kellett valahogy rávennie a felhasználókat, hogy kattintsanak egy speciálisan összeállított hivatkozásra.

Ezeknek az eseteknek az elkerülése végett von be külső fejlesztőket rendszerei biztonságának ellenőrzésébe a PayPal. A biztonsági résekre kitűzött vérdíjas módszer nem csak hatékonyabb, gazdaságosabb is a cég számára. Egyrészt a hibákat még azelőtt javítani lehet, mielőtt azt kiberbűnözök kihasználhatnák, másrészt jóval kisebb tesztelő apparátust kell fenntartani.

A PayPal pár éve még egy lépést tett előre ezen a téren. Megváltoztatta biztonsági programjának szabályzatát: immár a fiatalkorúak, azaz 18 év alattiak is beszállhatnak a biztonsági rések elleni küzdelembe.