OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers
2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。
Salt Security の研究者たちは、Expo が提供する OAuth 機能を分析した。この機能により、Facebook や Google などのサードパーティー・サービスを通じて、ユーザー認証が開発者により有効化されるという。
同社の分析により、特別に細工されたリンクをクリックさせることで、セキュリティ上の脆弱性が発見されたことになる。この攻撃方法を用いる攻撃者はセッションを乗っ取り、ユーザー・アカウントを完全に制御できる可能性があるという。
また、この脆弱性を悪用する攻撃者が、Facebook/Google/Twitter などのプラットフォーム上で、標的とするユーザーの代わりに、アクションを実行するというケースもあったようだ。
この脆弱性 CVE-2023-28131 は、2023年2月中旬に Expoの開発者に対して報告され、直ちに対応された。そして Expo は、悪用を防ぐために講じた措置を、詳細に説明するブログ記事を公開した。侵入および悪用の証拠はないと、Expo の開発者は述べていつようだ。
Salt Security は、「この脆弱性により、攻撃者はユーザーを騙して悪意のリンクをクリックさせ、訪問先のサイトでサードパーティ認証プロバイダーにログインさせ、その認証情報を公開することができた。つまり、auth.expo.io が、コールバック URL を信頼すると、ユーザーが明示的に確認する前に、対象となるアプリのコールバック URL を保存したことが原因である。修正後の auth.expo.io は、検証されていないコールバック URL を信頼するかどうかを、ユーザーに確認するようになった」と述べている。
Salt Security は、Expo のソーシャル・ログイン・コンポーネントである AuthSession Proxy を使用する実装のみが、影響を受けると指摘している。
同社の研究者たちは、影響を受ける可能性のある数百のサービスを発見し、この悪用によりアカウントが不正に制御される方法を実演した。その中には、コーディング教室のプラットフォームである、Codecademy も含まれるという。
先日にも、Booking.com アカウントのハッキングで悪用される可能性のある、OAuth 実装の脆弱性を発見したと、Salt Security は公表している。それから、わずか数ヶ月後に、今回の発表があった。
Expo が提供する OAuth の脆弱性を悪用することで、Facebook や Google などのサードパーティー・サービスを通じて、ユーザー認証が開発者により有効化されるという、とても怖い話です。Salt Security のレポートには、Expo を使用している、いくつかのモバイル・アプリが列挙されていますので、心配な方は、ご参照ください。また、OAuth で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.