Google OAuth की कुछ सुविधाओं में गड़बड़ी

 (trufflesecurity.com)
1 पॉइंट द्वारा GN⁺ 2023-12-22 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें

Google OAuth में कमजोरी मिली

  • Google OAuth में एक कमजोरी मिली है, जिसके कारण कंपनी छोड़ चुके कर्मचारी Slack, Zoom जैसे applications तक अनिश्चितकाल तक पहुंच बनाए रख सकते हैं.
  • इस कमजोरी को गैर-तकनीकी लोग भी आसानी से समझ और exploit कर सकते हैं, और Google ने अभी तक इस जोखिम को कम करने के लिए कोई कदम नहीं उठाया है.
  • घटना की timeline इस प्रकार है: 4 अगस्त को Google को कमजोरी की जानकारी दी गई, और अनुमान था कि सैकड़ों applications प्रभावित हो सकती हैं. 7 अगस्त को मुद्दे को वर्गीकृत किया गया. 5 अक्टूबर को Google ने इस मुद्दे के लिए $1337 का भुगतान किया. 25 नवंबर को Zoom और Slack सहित दर्जनों प्रभावित applications को बड़े पैमाने पर निजी रूप से सूचित किया गया. 16 दिसंबर को, Google को सूचित किए जाने के 134 दिन बाद, इसे सार्वजनिक किया गया.

पृष्ठभूमि

  • Truffle Security के Forager tool के एक beta tester ने Microsoft OAuth कमजोरी से प्रभावित login का पता लगाया और उसे सार्वजनिक किया था.
  • यह देखकर आश्चर्य हुआ कि Microsoft ऐसे email claims भेज रहा था जो Microsoft द्वारा बनाए या सत्यापित नहीं किए गए थे, और email claim स्वयं भरोसेमंद नहीं था.
  • Google के OIDC documentation में email को identifier के रूप में उपयोग करने के खिलाफ चेतावनी मिली.

Non-Gmail Google accounts

  • Gmail के अलावा किसी मौजूदा email address का उपयोग करके Google account बनाया जा सकता है.
  • ऐसे नए Google accounts, Yahoo email claims भेज सकते हैं.
  • Google documentation यह कहती है कि email को primary identifier के रूप में इस्तेमाल न करें, क्योंकि settings में गैर-Gmail email को संपादित किया जा सकता है, और अगर बाद में उसी संपादित email से नया account बनाया जाए, तो दो अलग-अलग Google accounts एक ही email claim भेज सकते हैं.

समस्या वाला हिस्सा

  • corporate Google organization के जरिए email alias और email plus-sign forwarding का उपयोग करके Google account बनाया जा सकता है.
  • इन email addresses को कई प्रभावित organizations में parse किया जाता है, और email के अंत में मौजूद domain के आधार पर तय किया जाता है कि login की अनुमति दी जाए या नहीं.
  • ये non-Gmail Google accounts वास्तव में Google organization के सदस्य नहीं होते, इसलिए ये admin settings या user Google list में दिखाई नहीं देते.

समाधान

  • organizations, Google login को disable करके और SAML को सख्ती से लागू करके खुद को सुरक्षित रख सकती हैं.
  • service providers के पास Google organization membership तय करने के तरीके हैं, लेकिन HD claim उन accounts में छोड़ दिया जाता है जो Google organization के सदस्य नहीं हैं.
  • Google इस समस्या को व्यापक रूप से हल करने के लिए कई कदम उठा सकता है.

अतिरिक्त प्रभाव

  • यह तकनीकी रूप से संभव है कि organization के Zoom और Slack तक शुरुआती access न होने पर भी पहुंच हासिल की जा सके.
  • Zendesk जैसे कुछ support और ticket systems के जरिए email से support ticket बनाकर, उसके माध्यम से Google account बनाना और फिर OAuth से login करना संभव हो सकता है.

अंतिम विचार

  • Google के OAuth system की खामी के कारण पूर्व कर्मचारी Slack और Zoom जैसे platforms तक पहुंच बनाए रख सकते हैं; यह केवल oversight नहीं बल्कि एक गंभीर security flaw है.
  • Google के पास इस समस्या को कम करने के लिए बड़े पैमाने पर fixes लागू करने की क्षमता है, और सार्वजनिक खुलासे का उद्देश्य वास्तविक बदलाव को प्रेरित करना है.
  • Google ने मुद्दे को जल्दी classify किया, लेकिन अपने ही 90-दिन के remediation best practice का पालन नहीं किया, इसलिए यह मुद्दा 134वें दिन सार्वजनिक हुआ.

GN⁺ की राय

  • यह लेख Google OAuth system की कमजोरी के जरिए पूर्व कर्मचारियों के कंपनी के महत्वपूर्ण communication platforms तक लगातार पहुंच बनाए रखने जैसी गंभीर security समस्या को उजागर करता है.
  • ऐसी कमजोरियां enterprise की आंतरिक information security के लिए बड़ा खतरा बन सकती हैं, और इनके जरिए sensitive information के leak होने की संभावना रहती है.
  • Google द्वारा इस मुद्दे पर सक्रिय कदम न उठाना, enterprise और individual users दोनों के लिए महत्वपूर्ण security concerns उठाता है, और यह cyber security के प्रति जागरूकता बढ़ाने तथा security protocols को मजबूत करने की जरूरत को रेखांकित करता है.

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.