Det här är Brian Smith-Sweeney, han leder Infosec Risk på två Sigma Han höll ett föredrag på Black Hat redan 2023 Två år tidigare, 2021, hade han av misstag upptäckt en ny sårbarhet i Googles OAuth Han betonar att attackvektorn inte är begränsad till Google

@twosigma @BlackHatEvents det är inte relaterat till vektorn jag postade, annat än att det också är oauth Det är enklare och kräver uttryckligt samtycke, om än från en förstapartstjänst från Google till en annan förstapartstjänst från Google Tricket är att det inte är Google Det är en tredje part som utger sig för att vara Google och lyckas

"Om du säger åt dina användare att leta efter [en auktorisering till en tredjepartsapp] kommer de inte att hitta den"

@BlackHatEvents i sin forskning om Googles OAuth, märker han någon konstig sträng Han avkodar den och söker i dokumentationen Det står att Googles auktoriseringsserver ska returnera auktoriseringskoden *i webbläsarens namnlist*

@twosigma "Jag vet inte hur många av er som någonsin har varit involverade i utvecklingen av ett säkert system för överföring av meddelanden eller lagring av autentiseringsuppgifter" "Jag vet inte om du någonsin har tänkt, vet du var vi ska lägga det? lägg den i webbläsarens namnlist" "Det är lätt för mig att skämta så här i efterhand"

@BlackHatEvents det var svårt för mig att tro, och jag gick och tittade på det själv

det var på riktigt

När han har spårat upp den avkodade strängen hittar han den också refererad i en listserver Inlägget är av en medförfattare till många oauth-specifikationer, inklusive RFC 8252, oauth-specifikationen i fråga Han har inget snällt att säga

Denna vektor har mycket av samma hållbarhet som den jag postade I auktoriseringslagret är OAuth-token POST-autentisering Han noterar också att i händelse av att kontot komprometteras har lösenordsåterställningar ingen effekt alls Traditionella återhämtningsmekanismer gör inte heller i allmänhet

@BlackHatEvents även i de mer detaljerade API-mekanismerna i Google Workspaces noterar han att åtkomstkontrollerna inte påverkar förstapartsappar från Google Det är i Googles appar från första part som hans app som inte kommer från Google visas

Det är ungefär där jag har landat också

@BlackHatEvents han på samma sätt varnar för oauth-tecken "De där sakerna lever för evigt"

Jag gillar hur han slutar Han säger att här på Two Sigma värdesätter vi lärande och studier Sedan säger han, om du frågar mig något eller berättar något för mig, där någon av oss lär sig något, ska jag ge dig några två sigma swag Föga förvånande är det en kortlek