Dette er Brian Smith-Sweeney, han leder Infosec Risk på Two Sigma Han holdt et foredrag på Black Hat tilbake i 2023 To år tidligere, i 2021, hadde han ved et uhell oppdaget en ny sårbarhet i Googles OAUTH Han understreker at angrepsvektoren ikke er begrenset til Google

@twosigma @BlackHatEvents det er ikke relatert til vektoren jeg la ut, annet enn at det også er oauth Det er mer enkelt, og krever eksplisitt samtykke, om enn fra en førsteparts Google-tjeneste til en annen førsteparts Google-tjeneste Trikset er at det ikke er Google Det er en tredjepart som utgir seg for å være Google, og lykkes

"Hvis du ber brukerne dine om å se etter [en autorisasjon til en tredjepartsapp], kommer de ikke til å finne den"

@BlackHatEvents i sin forskning på Googles oauth, legger han merke til en merkelig streng han dekoder den og søker i dokumentasjonen Det står at Googles autorisasjonsserver skal returnere autorisasjonskoden *i nettleserens tittellinje*

@twosigma "Jeg vet ikke hvor mange av dere som noen gang har vært involvert i å utvikle et sikkert system for sending av meldinger eller legitimasjon" «Jeg vet ikke om du noen gang har tenkt, vet du hvor vi skal plassere det? legg den i nettleserens tittellinje" "Det er lett for meg å lage en vits i ettertid"

@BlackHatEvents det var vanskelig for meg å tro, og jeg gikk og så på det selv

det var ekte

Etter at han sporer opp den dekodede strengen, finner han den også referert til i en ListServ innlegget er av en medforfatter av mange oauth-spesifikasjoner, inkludert RFC 8252, den aktuelle oauth-spesifikasjonen han har ikke noe hyggelig å si

Denne vektoren har mye av den samme holdbarheten som den jeg la ut Igjen, i autorisasjonslaget, er OAuth-tokener etter godkjenning Han bemerker også at i tilfelle kontokompromittering, har tilbakestilling av passord ingen effekt i det hele tatt det gjør heller ikke tradisjonelle gjenopprettingsmekanismer generelt

@BlackHatEvents selv i de mer detaljerte API-mekanismene til Google Workspaces, bemerker han at tilgangskontrollene ikke påvirker førsteparts Google-apper Førsteparts Google-apper er der ikke-Google-appen hans dukker opp

Det er stort sett der jeg har landet også

@BlackHatEvents han advarer på samme måte om oauth-tokens «Disse tingene lever evig»

Jeg liker måten han ender på Han sier, her på Two Sigma, verdsetter vi læring og studier Så sier han, hvis du spør meg om noe eller forteller meg noe, hvor en av oss lærer noe, skal jeg gi deg noen to sigma-swag Ikke overraskende er det en kortstokk