Si tratta di uno standard nato per offrire modalità di accesso più semplici a determinati siti, che sfrutta le credenziali già memorizzate su altri servizi.
I criminali informatici tuttavia, riescono e riusciranno sempre più a sfruttare l'abuso di OAuth per portare a termine attacchi informatici sempre più sofisticati, andando oltre al classico phishing, fino ad attacchi brute force o a furti di token.
Come funziona OAuth
In partica, grazie a questo framework di autenticazione, un utente può autenticarsi utilizzando le credenziali già memorizzate su un altra applicazione, (pensiamo alla possibilità che molti siti offrono di autenticarsi con le credenziali Facebook, ad esempio). L'autenticazione token-based assicura all'utente la connessione fino alla validità del token stesso, che contiene i dati dell'utente, cioè le sue credenziali per l'accesso. In questo modo si evita l'invio continuo di credenziali di lungo periodo a favore di permessi di autenticazione temporanei.
Nato per permettere l'accesso a dati specifici definiti dall'utente, questo standard ha visto ulteriori sviluppi nel tempo, essendo oggi alla versione 2.0, ed evolvendo per permettere servizi di autenticazione. Le parti coinvolte nel flusso delle informazioni sono tre: il sito web o l'applicazione che chiede l'accesso ai dati, l'utente a cui chiedere l'accesso, e il fornitore dei servizi OAuth, che controlla l'accesso ai dati.
Le vulnerabilità di OAuth
Purtroppo questo framework non è esente da vulnerabilità, ma al contrario, si rivela proprio utilizzato dai criminali informatici per portre a termine con successo degli attacchi, basandosi di fatto, sull'abuso di questo standard. Tra i problemi principali che questa applicazione presenta è la sua alta flesibilità, che lascia ampio spazio di progettazione e di configurazione, nel quale possono facilmente inserirsi delle pratiche poco sicure. Non ci sono infatti opzioni di sicurezza integrate, ma queste dipendono dalle modalità di configurazione e da implementazioni personali.
Questo significa che una scarsa esperienza facilita l'errore. Inoltre, essendo possibili diverse modalità di connessione, alcuni dati sensibili possono passare anche attraverso i browser, divenendo così intercettabili da eventuali cyber criminali. Errori di configurazione del servizio OAuth possono anche permettere ai malintenzionati di rubare codici di accesso o il token stesso generato dall'applicazione, e accedere così ai dati.
Le tendenze per il 2023
Gli esperti prevedeno una crescita in questa tipologia di attacchi. Un recente report Netskope rivela che gli utenti nelle organizzazioni hanno concesso l'accesso ai loro dati a oltre 400 applicazioni di terze parti e che un'organizzazione ha fino a 12.300 plugin di accesso ai dati. Quello delle false apllicazioni di terze parte è infatti uno degli scenari in forte ascesa per il prossimo periodo, un'evoluzione del classico phishing tramite e-mail.
