Expo の開始ソース フレームワーク内の API の重大な欠陥により、攻撃者が Open Authorization (OAuth) プロトコル全体で認証資格情報を収集することができました。 この脆弱性は、一部の開発者に影響を与えるものの、研究者らの協力を得て、Fb、Twitter、Spotify などのオンライン サービスや製品にログインする顧客の大きな好みに影響を与える可能性がありました。
攻撃が成功すると、攻撃者がアカウントを選択し、モバイル アプリやオンライン ページ上で資格情報を決定することが可能になる可能性があります。 Expo AuthSession リダイレクト プロキシ。 おそらく、被害者が悪意のあるハイパーリンクをクリックしただけで、暴行が引き起こされる可能性があります。
Expo (auth.expo.io) は、開発者がツール、ライブラリ、サービス、製品の単一スペースを利用して iOS、Android、Web プラットフォーム用のネイティブ アプリをハングアップするための古いもので、効率的であると考えられています。ケイパビリティの構築プロセスをホットフットする手法。
Salt Labs と歩調を合わせて「この脆弱性は、Codecademy とともに Expo を利用している多くの企業に影響を与える可能性も十分にあります。」 研究者らは、「auth.expo.io の根本的な問題は小さい」ことを強調し、それによって影響を受けるソーシャル シグナルオン条件の選択が低下します。
Codecademy は 1 億人の顧客を持つ受け入れられたオンライン プラットフォームであり、無料のコーディングレッスン。 「Salt Labs チームは、Codecademy スペースの Expo の脆弱性を悪用してアカウントを完全に監視する準備が整いました」と研究者らは a おそらく、おそらく 24 件のブログ投稿で書いています。 )
業界と同じ古い OAuth は、Web サイトやアプリ では Web サイトにアクセスするための「ワンクリック」ログインとして古いものです以前の個人登録とユーザー名/パスワード認証の構築にソーシャル メディア アカウントを利用しました。
研究者らは調査結果を Expo に公開し、API の脆弱性が急速に明らかになりました。 Expo は、この欠陥 は CVE-2023-28131 として追跡され、CVSS ランキング 9.6 であり、現在は公開されていないと述べています。
)
このコンピュータ ウイルスは、API リダイレクトの脆弱性として分類されています。 技術説明によると、この欠陥は auth.expo.io フレームワークへのサポートと、それがアプリのコールバック URL を「本人がそのコールバック URL を信じていると明示的に確認するより早く」保存したという事実を追跡します 。 この脆弱性は 2 月に知られ、4 月には NIST の全国脆弱性 データベース全体で公開され 、現在に至るまでおそらく 2 つ以上ある可能性があります。
Keeper Security の製品責任者、Zane Bond 氏は、OAuth を課すエンジニアは、多様なオプションが生み出すものを要求し、哲学する準備ができていて、検証することが明らかである必要がある場合には、より安定した可能性を選択する必要があると述べました。
「セキュリティを厳しく意識する顧客にとって、サードイベント アプリまたは Web サイトの Web アカウントに OAuth を利用することには、それぞれのセキュリティ上の利点とリスクが伴います。
Vulcan Cyber 社のシニア テクニカル エンジニアであるマイク パーキン氏は、OAuth の脆弱性によって実行可能な可能性が若干大きくなったと述べました。
「あらゆる認証ブループリントの使命は、OAuth とともに、安全にそれを課すことです…OAuth を安全に課すことは、簡単ではない仕事であり、興奮することはありません。」と Parkin 氏は言いました。