Expo kritikus OAuth sérülékenysége
Kritikus biztonsági rést tártak fel az Expo.io alkalmazásfejlesztési keretrendszerben. A Salt Labs az azonosított sérülékenységet ismerteti – miután megosztották a Expo fejlesztőivel és azok javították a sérülékenyéget- ami a keretrendszert használó szolgáltatásoknál lehetővé tették a hitelesítő adatok kiszivárgását, akár a teljes fiókátvételt, ami személyazonosság-lopáshoz, pénzügyi csaláshoz, hitelkártyákhoz való hozzáféréshez és sok máshoz vezethet. A CVE-2023-28131 sérülékenység besorolása 9,6.
Az OAuth (Open Authorization) egy modern, nyílt engedélyezési szabvány, amely lehetővé teszi az alkalmazások közötti hozzáférés delegálását – például lehetővé teszi az alkalmazás számára, hogy adatokat olvasson a Facebook-profiljából. A megfelelő kiterjesztésekkel kombinálva az OAuth hitelesítésre is használható – például az alkalmazásba való bejelentkezéshez a Google hitelesítő adataival.
A nyilvánosságra hozott sérülékenység a Booking.com (és a Kayak.com) hasonló OAuth-problémáinak azonosítását is jelentette, amelyek felhasználhatók lettek volna a felhasználói fiókok feletti irányítás átvételére, a személyes vagy a fizetési kártya adatainak teljes áttekintésére, valamint a fizetési műveletek végrehajtására az áldozat nevében.