c'est Brian Smith-Sweeney, il dirige le risque infosec chez Two Sigma il a donné une conférence à Black Hat en 2023 deux ans auparavant, en 2021, il avait accidentellement découvert une nouvelle vulnérabilité dans l'oauth de Google il souligne que le vecteur d'attaque n'est pas limité à Google

@twosigma @BlackHatEvents cela n'a rien à voir avec le vecteur que j'ai posté, si ce n'est que c'est aussi oauth c'est plus facile, nécessitant un consentement explicite, bien que d'un service google de première partie à un autre service google de première partie le truc, c'est que ce n'est pas google c'est un tiers qui imite google, et qui réussit.

"si vous dites à vos utilisateurs de chercher [une autorisation pour une application tierce], ils ne vont pas la trouver"

@BlackHatEvents dans ses recherches sur l'oauth de google, il remarque une chaîne étrange il la décode et cherche dans la documentation il est dit que le serveur d'autorisation de google doit renvoyer le code d'autorisation *dans la barre de titre du navigateur*

@twosigma "je ne sais pas combien d'entre vous ont déjà été impliqués dans le développement d'un système de transmission de messages sécurisé ou de stockage de crédentiels" "je ne sais pas si vous avez déjà pensé, vous savez où nous devrions mettre ça ? mettez-le dans la barre de titre du navigateur" "c'est facile pour moi de faire une blague avec le recul"

@BlackHatEvents c'était difficile pour moi de le croire, et je suis allé le voir moi-même

c'était réel

après avoir retrouvé la chaîne décodée, il la trouve également mentionnée dans une liste de diffusion le post est d'un co-auteur de nombreuses spécifications oauth, y compris le RFC 8252, la spécification oauth en question il n'a rien de gentil à dire

ce vecteur a beaucoup de la même durabilité que celui que j'ai posté encore une fois, dans la couche d'autorisation, les jetons oauth sont post-authentification il note aussi que dans le cas d'un compromis de compte, les réinitialisations de mot de passe n'ont aucun effet ni les mécanismes de récupération traditionnels en général

@BlackHatEvents même dans les mécanismes API plus granulaires de Google Workspaces, il note que les contrôles d'accès n'affectent pas les applications Google de première partie les applications Google de première partie sont là où son application non-Google apparaît

c'est à peu près là où j'en suis aussi

@BlackHatEvents il avertit également au sujet des jetons oauth "ces choses vivent éternellement"

j'aime la façon dont il termine il dit, ici chez Two Sigma, nous valorisons l'apprentissage et l'étude puis il ajoute, si vous me demandez quelque chose ou me dites quelque chose, où l'un de nous apprend quoi que ce soit, je vous donnerai un peu de swag de Two Sigma sans surprise, c'est un jeu de cartes