Harvestアプリのオープンリダイレクトを介したMicrosoftアカウントのOAuthトークン窃取

 (eval.blog)
1 ポイント 投稿者 GN⁺ 2023-10-23 | 1件のコメント | WhatsAppで共有
  • 本記事は、ユーザーがOAuthを通じて自分のOutlookカレンダーを接続できる時間追跡ソフトウェアHarvestの脆弱性について論じています。
  • この脆弱性により、Harvestのオープンリダイレクトを通じて接続されたMicrosoftアカウントのOAuthトークンが盗まれる可能性がありました。
  • 認可が正常に完了すると、ユーザーは state 内で指定されたURLへさらにリダイレクトするURLにリダイレクトされます。これによりオープンリダイレクトが発生します。
  • オープンリダイレクトは、暗黙的許可を通じてアクセストークンを盗むために悪用される可能性があります。
  • この脆弱性は、OAuthアプリケーションを使ってOutlookカレンダーへの接続に成功した後に発見されました。
  • オープンリダイレクトと暗黙的許可フローが組み合わさることで、リダイレクト先のURLへアクセストークンが漏えいします。
  • Harvestチームは脆弱性開示への対応が遅く、この問題の修正には3年を要しました。
  • 同社は脆弱性を認めたものの、修正完了時に報告者へ通知しませんでした。
  • このレポートは2023年10月21日に公開されました。

関連記事

1件のコメント

 
GN⁺ 2023-10-23
Hacker Newsのコメント
  • バグバウンティプログラムの管理者は、この問題を完全には再現できず、社内の混乱により問題は解決済みだと考えていたと説明している。
  • Harvestアプリのユーザーは、新機能の不足やアクティブ顧客の推測を可能にする脆弱性を挙げ、同社のエンジニアリング能力に懸念を示している。
  • あるコメント投稿者は、RFC 6749がこの種の攻撃を防ぐ方法を詳しく説明していると指摘し、Harvestアプリがなぜ悪意のあるredirect_uriを登録しなかったのか疑問を呈している。
  • 別のコメント投稿者は、タイトルはMicrosoftに対して不公平だと批判し、トークンはHarvestのものであり、露出はHarvestのコードの脆弱性が原因だったと主張している。
  • 投稿で示された理由から暗黙的付与が批判されており、これは今後のOAuth 2.1仕様では削除される予定だという注記とともに述べられている。
  • あるコメント投稿者は、脆弱性の修正に3年(2020年8月~2023年8月)かかったという事実に衝撃を受けている。
  • あるコメント投稿者は、OAuthの専門家にこの問題をもっと詳しく説明してほしいと求めており、脆弱性の理解に苦労している。
  • あるコメント投稿者は、なぜこの問題がMicrosoftに通知されなかったのか疑問を呈し、問題が解決するまでOAuthアプリケーションへのアクセスを取り消せたはずだと提案している。
  • あるコメント投稿者は、なぜ会社がこの問題の修正に3年も待ったのか疑問を呈し、公表前なら90日で十分だったと主張している。
  • あるコメント投稿者は、HackerOneがこのような問題を3年にわたって無視する企業を許容していることを批判している。