在实施社交登录功能时发现的网络安全漏洞为帐户接管等打开了大门。
网站和应用程序用于连接到Facebook,Google,Apple,Twitter等的开放授权(OAuth)标准实施中的漏洞可能允许攻击者接管用户帐户,访问和/或泄露敏感信息,甚至进行金融欺诈。
当用户登录到网站并单击链接以使用另一个社交媒体帐户登录时,OAuth就会发挥作用,例如“使用Facebook登录”或“使用Google登录” - 许多网站都使用该功能允许跨平台身份验证。API安全公司Salt Security的Salt Labs的一个团队在Expo的OAuth实施中发现了这个漏洞,跟踪CVE-2023-28131,Expo是一个开源框架,用于使用单个代码库为iOS,Android和其他Web平台开发本机移动应用程序。
具体来说,研究人员发表的一篇博客文章中透露,该漏洞可能会影响使用各种社交媒体帐户登录使用该框架的在线服务的任何用户。
该漏洞是Salt研究人员在在线平台实施OAuth时发现的第二个也是更具影响力的漏洞,OAuth被证明是一个难以安全实施的标准。今年三月,Salt在Booking.com实施OAuth时发现了一个漏洞,该漏洞可能允许攻击者接管用户帐户并全面了解其个人或支付卡数据,以及登录该网站的姊妹平台 Kayak.com 上的帐户。
