OAuth dient als offener Standard für die tokenbasierte Authentifizierung, die von vielen Internetgiganten, einschließlich PayPal, eingesetzt wird. Aus diesem Grund hat die Entdeckung eines kritischen Fehlers im Online-Zahlungsdienst, der es Hackern hätte ermöglichen können, OAuth-Token von Benutzern zu stehlen, PayPal dazu veranlasst, einen Patch zu installieren.

Antonio Sanso, Sicherheitsforscher und Adobe-Softwareentwickler, entdeckte den Fehler, nachdem er seinen eigenen OAuth-Client getestet hatte. Neben PayPal entdeckte Sanso auch die gleiche Sicherheitslücke in anderen wichtigen Internetdiensten wie Facebook und Google.

Laut Sanso liegt das Problem in der Art und Weise, wie PayPal mit dem Parameter redirect_uri umgeht, um Anwendungen bestimmte Authentifizierungstoken zu geben. Der Dienst verwendet seit 2015 erweiterte Umleitungsprüfungen, um den Parameter redirect_uri zu bestätigen. Dennoch konnte Sanso diese Überprüfungen nicht umgehen, als er im September mit der Untersuchung des Systems begann.

Mit PayPal können Entwickler ein Dashboard verwenden, das Tokenanforderungen erstellen kann, um ihre Apps für den Dienst zu registrieren. Die resultierenden Token-Anfragen werden dann an einen PayPal-Autorisierungsserver gesendet. Jetzt hat Sanso einen Fehler gefunden, bei dem PayPal einen lokalen Host als gültigen redirect_uri-Parameter während des Authentifizierungsprozesses erkennt. Er sagte, diese Methode habe OAuth falsch implementiert.

Das Validierungssystem spielen

Sanso fuhr dann mit dem Validierungssystem von PayPal fort und ließ es die ansonsten vertraulichen OAuth-Authentifizierungstoken offenlegen. Es gelang ihm, das System zu täuschen, indem er seiner Website einen bestimmten Domain-Name-System-Eintrag hinzufügte. Dabei stellte er fest, dass localhost das Zauberwort für die Außerkraftsetzung des exakten Übereinstimmungsprüfungsprozesses von PayPal war.

Die Sicherheitslücke hätte laut Sanso jeden PayPal-OAuth-Client gefährden können. Er riet den Benutzern, beim Erstellen eines OAuth-Clients eine ganz bestimmte redirect_uri zu erstellen. Sanso schrieb in einem Blogbeitrag:

Registrieren Sie https: // yourouauthclientcom / oauth / oauthprovider / callback. NICHT NUR https: // yourouauthclientcom / oder https: // yourouauthclientcom / oauth.

PayPal glaubte den Ergebnissen von Sanso zunächst nicht, obwohl das Unternehmen seine Entscheidung schließlich überdachte und nun eine Lösung für den Fehler herausgab.

Lesen Sie auch:

• 7 am besten zu verwendende Windows 10-Rechnungssoftware
• Wallet für Windows 10 Mobile bietet Insidern kontaktlose mobile Zahlungen