2018年1月21日,国家信息安全漏洞共享平台(CNVD)接收了OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞(CNVD-C-2018-06621)。综合利用上述漏洞,攻击者可通过登录受害者账号,获取存储在第三方移动应用上的敏感信息。由于OAuth广泛应用于微博等社交网络服务,漏洞一旦被黑客组织利用,可能导致用户隐私信息泄露。
一、漏洞情况分析
OAuth(Open Authorization)是一个关于授权的开放网络标准,允许用户授权第三方移动应用,访问用户存储在其他服务提供者上的信息,而无需将用户名和密码提供给第三方移动应用或分享数据的所有内容。
该漏洞利用OAuth第三方授权无需用户名和密码的特点,结合redirect_uri未指定授权目录引发用户劫持攻击。攻击者通过登录某种社交网络服务,修改链接redirect_uri参数值指向,将伪造后的用户授权链接发给目标用户,当目标用户点击或被欺骗访问上述授权链接进行登陆后,攻击者即可通过referer获取用户授权,快速登录目标用户账号,还可登陆该账号绑定的其他网站信息,查看敏感信息或执行授权操作,还可以利用受害人账号进行非法信息传播、诈骗等非法行为。
CNVD对上述漏洞的综合评级为“中危”。
二、漏洞影响范围
上述漏洞影响采用第三方登陆授权方式的服务。
三、漏洞修复建议
CNVD建议第三方应用平台采取如下措施进行漏洞的防范,同时请广大用户注意第三方授权链接,谨慎输入账号密码:
1. 在注册第三方授权时,redirect_uri需要限制到指定网站的指定目录,比如redirect_uri注册为passport.aaa.com/oauth/,而非aaa.com或者passport.aaa.com。
2. 禁止非源跳转。通过增加网站跳转的判断条件,禁止对非本网站的链接进行跳转。