OAuth sirve como un estándar abierto para la autenticación basada en tokens empleado por muchos gigantes de Internet, incluyendo PayPal. Por eso, el descubrimiento de un fallo crítico en el servicio de pagos en línea que podría haber permitido a los hackers robar tokens de OAuth a los usuarios ha enviado a PayPal a desplegar un parche.
Antonio Sanso, investigador de seguridad e ingeniero de software de Adobe, descubrió el fallo después de probar su propio cliente de OAuth. Además de PayPal, Sanso también detectó la misma vulnerabilidad en otros servicios de Internet importantes como Facebook y Google.
Sanso dice que el problema radica en la forma en que PayPal maneja el parámetro redirect_uri para dar a las aplicaciones ciertos tokens de autenticación. El servicio ha estado utilizando comprobaciones de redireccionamiento mejoradas para confirmar el parámetro redirect_uri desde 2015. Sin embargo, esto no impidió que Sanso pasara por alto estas comprobaciones cuando comenzó a investigar el sistema en septiembre.
PayPal permite a los programadores utilizar un panel de control que puede producir solicitudes de tokens para alistar sus aplicaciones con el servicio. Las solicitudes de token resultantes se envían a un servidor de autorización de PayPal. Ahora, Sanso encontró un error en cómo PayPal reconoce un host local como un parámetro redirect_uri válido durante el proceso de autenticación. Dijo que este método implementó erróneamente OAuth.
Jugando con el sistema de validación
Sanso luego pasó al sistema de validación de PayPal para que revelara los tokens de autenticación de OAuth, que de otro modo serían confidenciales. Consiguió engañar al sistema añadiendo una cierta entrada del sistema de nombres de dominio a su sitio Web, señalando que localhost servía como la palabra mágica para anular el proceso de validación de coincidencia exacta de PayPal.
La vulnerabilidad podría haber comprometido a cualquier cliente de PayPal OAuth según Sanso. Aconsejó a los usuarios que crearan un redirect_uri muy específico al crear un cliente de OAuth. Sanso escribió en una entrada del blog:
Regístrese en https://yourouauthclient[dot]com/oauth/oauthprovider/callback.NO SÓLO https://yourouauthclient[dot]com/ o https://yourouauthclient[dot]com/oauth.
PayPal no creyó en las conclusiones de Sanso al principio, aunque la empresa finalmente reconsideró su decisión y ahora emitió una solución al problema.
Lea también:
- 7 mejores programas de facturación de Windows 10 para usar
-
Wallet para Windows 10 Mobile ofrece pagos móviles sin contacto a Insiders