ОАутх служи као отворени стандард за аутентификацију засновану на токенима коју користе многи интернет великани, укључујући ПаиПал. Због тога је откриће критичне грешке у услузи плаћања на мрежи која је могла дозволити хакерима да украду ОАутх токене од корисника, послала ПаиПал шифрирање да изврши закрпу.

Антонио Сансо, истраживач безбедности и Адобе софтвер инжењер, открио је недостатак након што је тестирао сопственог клијента ОАутх. Поред ПаиПал-а, Сансо је открио исту рањивост и у другим главним интернет сервисима попут Фацебоока и Гооглеа.

Сансо каже да проблем лежи у начину на који ПаиПал обрађује параметар редирецт_ури како би апликацијама дао одређене токене за аутентификацију. Услуга користи побољшане провере преусмеравања да би потврдио параметар редирецт_ури од 2015. Ипак, то није спречило Сансоа да заобиђе те провере када је почео да истражује систем у септембру.

ПаиПал омогућава програмерима да користе контролну таблу која може да произведе захтеве за токен како би своје апликације прикупили услугом. Резултирајући захтеви за токене затим се шаљу на ПаиПал сервер за ауторизацију. Сада је Сансо открио грешку у томе како ПаиПал препознаје лоцалхост као валидан параметар редирецт_ури током процеса провере идентитета. Рекао је да је ова метода погрешно имплементирала ОАутх.

Играње система валидације

Сансо је затим прешао на систем ПаиПал-ове провере ваљаности и на тај начин открио иначе поверљиве жетоне за потврду идентитета ОАутх. Успео је да превари систем додавањем одређеног уноса система домена на своју веб локацију, приметивши да је лоцалхост послужио као чаробна реч за надјачавање ПаиПал-овог тачног поступка провере ваљаности.

Сансова је угроженост могла угрозити било којег ПаиПал ОАутх клијента. Саветовао је кориснике да креирају врло специфичан редирецт_ури приликом прављења ОАутх клијента. Сансо је написао у посту на блогу:

ДО региструјте хттпс: // иоуроуаутхцлиентцом / оаутх / оаутхпровидер / цаллбацк. НЕ ПОСТОЈИ хттпс: // иоуроуаутхцлиентцом / или хттпс: // иоуроуаутхцлиентцом / оаутх.

ПаиПал у почетку није веровао Сансовим налазима, иако је компанија на крају преиспитала своју одлуку и сада је издала исправку за грешку.

Прочитајте и:

• 7 најбољих софтвера за рачуне за Виндовс 10 који се користе
• Новчаник за Виндовс 10 Мобиле Инсајдерима доноси бесконтактно плаћање путем мобилних уређаја