Des failles de sécurité critiques ont été révélées dans la mise en œuvre de l’autorisation ouverte (OAuth) de services en ligne populaires tels que Grammarly, Vidio et Bukalapak, s’appuyant sur les lacunes précédentes découvertes dans Booking.[.]com et Expo.
Les faiblesses, désormais corrigées par les sociétés respectives après une divulgation responsable entre février et avril 2023, auraient pu permettre à des acteurs malveillants d’obtenir des jetons d’accès et potentiellement de détourner des comptes d’utilisateurs.
OAuth est une norme couramment utilisée comme mécanisme d’accès entre applications, permettant aux sites Web ou aux applications d’accéder à leurs informations sur d’autres sites Web, tels que Facebook, mais sans leur donner les mots de passe.
« Lorsque OAuth est utilisé pour fournir une authentification de service, toute faille de sécurité peut entraîner un vol d’identité, une fraude financière et l’accès à diverses informations personnelles, notamment des numéros de carte de crédit, des messages privés, des dossiers de santé, etc., en fonction du service spécifique utilisé. attaqué », a déclaré Aviad Carmel, chercheur chez Salt Security.
Le problème identifié dans Vidio provient d’une absence de vérification du jeton, ce qui signifie qu’un attaquant peut utiliser un jeton d’accès généré pour un autre identifiant d’application, un identifiant aléatoire créé par Facebook pour chaque application ou site Web enregistré sur son portail de développeur.

Dans un scénario d’attaque potentiel, un acteur malveillant pourrait créer un site Web malveillant offrant une option de connexion via Facebook pour collecter les jetons d’accès et les utiliser ensuite contre Vidio.com (qui porte l’ID d’application 92356), permettant ainsi le contrôle complet du compte. .
La société de sécurité API a déclaré avoir également découvert un problème similaire avec la vérification des jetons sur Bukalapak.com via la connexion Facebook, qui pourrait entraîner un accès non autorisé au compte.
Sur Grammarly, il est apparu que lorsque les utilisateurs tentent de se connecter à leurs comptes à l’aide de l’option « Se connecter avec Facebook », une requête HTTP POST est envoyée à auth.grammarly.[.]com pour les authentifier à l’aide d’un code secret.
En conséquence, bien que Grammarly ne soit pas sensible à une attaque de réutilisation de jeton comme dans le cas de Vidio et Bukalapak, il est néanmoins vulnérable à un autre type de problème dans lequel la requête POST peut être modifiée pour remplacer le code secret par un jeton d’accès obtenu. à partir du site Web malveillant susmentionné pour accéder au compte.
« Et comme pour les autres sites, la mise en œuvre de Grammarly n’a pas effectué de vérification des jetons », a déclaré Carmel, ajoutant : « un piratage de compte donnerait à un attaquant l’accès aux documents stockés de la victime ».