OAuth fungerer som en åpen standard for token-basert autentisering ansatt av mange internettgiganter, inkludert PayPal. Det er grunnen til at oppdagelsen av en kritisk feil i online betalingstjenesten som kunne ha tillatt hackere å stjele OAuth-symboler fra brukere, har sendt PayPal-kryptering for å rulle ut en oppdatering.

Antonio Sanso, en sikkerhetsforsker og Adobe programvareingeniør, oppdaget feilen etter at han testet sin egen OAuth-klient. I tillegg til PayPal oppdaget Sanso også den samme sårbarheten i andre store internettjenester som Facebook og Google.

Sanso sier at problemet ligger i måten PayPal håndterer redirect_uri- parameteren for å gi applikasjoner visse godkjenningstokener. Tjenesten har brukt forbedrede omdirigeringskontroller for å bekrefte redirect_uri-parameteren siden 2015. Likevel hindret det ikke Sanso i å omgå disse sjekkene da han begynte å undersøke systemet i september.

PayPal lar utviklere bruke et dashbord som kan produsere tokenforespørsler for å verve appene sine med tjenesten. De resulterende tokenforespørslene blir deretter sendt til en PayPal-autorisasjonsserver. Nå fant Sanso en feil i hvordan PayPal gjenkjenner en localhost som en gyldig redirect_uri-parameter under godkjenningsprosessen. Han sa at denne metoden feil implementerte OAuth.

Spille valideringssystemet

Sanso fortsatte deretter med å spille PayPal-valideringssystemet og la det avsløre ellers konfidensielle OAuth-autentiseringsmerken. Han klarte å lure systemet ved å legge til et visst domenenavnsystemoppføring på nettstedet sitt, og la merke til at localhost fungerte som det magiske ordet for å overstyre PayPal’nøyaktige samsvarsvalideringsprosess.

Sårbarheten kan ha kompromittert enhver PayPal OAuth-klient i følge Sanso. Han rådet brukerne til å lage en veldig spesifikk omdirigering_uri når de lager en OAuth-klient. Sanso skrev i et blogginnlegg:

DO registrere https: // yourouauthclientcom / oauth / oauthprovider / callback. IKKE BARE https: // yourouauthclientcom / eller https: // yourouauthclientcom / oauth.

PayPal trodde ikke Sansos funn til å begynne med, selv om selskapet til slutt vurderte sin avgjørelse på nytt og utstedte en løsning på feilen.

Les også:

• 7 beste Windows 10-fakturaprogramvare du kan bruke
• Lommebok for Windows 10 Mobile bringer kontaktløse mobilbetalinger til Insiders