使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管
编译:代码卫士
API安全公司 Salt Security 指出,广为使用的应用开发框架 Expo 中存在多个与 OAuth 相关的漏洞,可被用于控制用户账户。
Expo 是一款开源平台,用于为移动设备和 web 开发通用的原生 app。该公司表示其产品被超过60万名开发人员所使用,其中不乏多个大型企业。
研究人员分析 OAuth 功能后发现,它可使开发人员通过第三方服务如 Facebook 和 Google 启用用户认证。他们分析后发现了多个漏洞,攻击者诱骗目标用户点击特殊构造的链接后即可利用这些漏洞。攻击者可利用这种攻击方法劫持会话并完全控制用户的账户,从而暴露敏感信息、实施金融欺诈或盗取身份。在某些情况下,攻击者还可利用这种 exploit 以目标用户的名义在 Facebook、Goolge 或 Twitter 平台上执行操作。
这些漏洞被统称为 CVE-2023-28131,在2月中旬被告知 Expo 开发人员并快速得到修复。Expo 发布文章,详述了阻止利用的多个步骤。目前尚未发现攻陷或恶意利用的证据。
Expo 公司解释称,“该漏洞本可导致潜在攻击者诱骗用户访问恶意链接、登录至第三方认证提供商并暴露其第三方认证凭据。这是因为用于存储应用回调 URL 的 auth.expo.io在用户之前明确证实信任回调URL。发布热修复方案后,auth.expo.io 目前要求用户证实信任未经验证的回调URL。”
Salt Security 公司提到,仅有使用 Expo 社交登录组件 AuthSession Proxy 的实现才受影响。研究人员发现数百种潜在受影响的服务,包括Codecademy 等,研究人员在这些平台上演示了该 exploit 如何控制账户。
就在几个月前,Salt Security 公司称发现多个 OAuth 实现漏洞,可被用于入侵 Booking.com 账户。
GitHub:攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构
https://www.securityweek.com/oauth-vulnerabilities-in-widely-used-expo-framework-allowed-account-takeovers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。