OAuth berfungsi sebagai standar terbuka untuk otentikasi berbasis token yang digunakan oleh banyak raksasa internet, termasuk PayPal. Itulah sebabnya penemuan cacat kritis dalam layanan pembayaran online yang bisa memungkinkan peretas untuk mencuri token OAuth dari pengguna telah mengirim PayPal berebut untuk meluncurkan tambalan.

Antonio Sanso, seorang peneliti keamanan dan insinyur perangkat lunak Adobe, menemukan kelemahannya setelah ia menguji klien OAuth sendiri. Selain PayPal, Sanso juga mendeteksi kerentanan yang sama di layanan internet utama lainnya seperti Facebook dan Google.

Sanso mengatakan masalahnya terletak pada cara PayPal menangani parameter redirect_uri untuk memberikan aplikasi token otentikasi tertentu. Layanan ini telah menggunakan pemeriksaan redirect yang ditingkatkan untuk mengonfirmasi parameter redirect_uri sejak 2015. Namun, itu tidak menghentikan Sanso dari melewati pemeriksaan ini ketika ia mulai menyelidiki sistem pada bulan September.

PayPal memungkinkan pengembang menggunakan dasbor yang dapat menghasilkan permintaan token untuk mendaftar aplikasi mereka dengan layanan. Permintaan token yang dihasilkan kemudian dikirim ke server otorisasi PayPal. Sekarang, Sanso menemukan kesalahan dalam bagaimana PayPal mengenali localhost sebagai parameter redirect_uri yang valid selama proses otentikasi. Dia mengatakan metode ini salah menerapkan OAuth.

Bermain sistem validasi

Sanso kemudian melanjutkan ke sistem validasi permainan PayPal dan meminta itu mengungkapkan token otentikasi OAuth yang dinyatakan rahasia. Dia berhasil mengelabui sistem dengan menambahkan entri sistem nama domain tertentu ke situs webnya, mencatat bahwa localhost berfungsi sebagai kata ajaib untuk mengganti proses validasi pencocokan tepat PayPal.

Kerentanan tersebut dapat membahayakan klien OAuth PayPal apa pun menurut Sanso. Dia menyarankan pengguna untuk membuat redirect_uri yang sangat spesifik saat membuat klien OAuth. Sanso menulis dalam posting blog:

DO register https: // yourouauthclientcom / oauth / oauthprovider / callback. BUKAN HANYA https: // yourouauthclientcom / atau https: // yourouauthclientcom / oauth.

PayPal awalnya tidak mempercayai temuan Sanso, meskipun perusahaan akhirnya mempertimbangkan kembali keputusannya dan sekarang mengeluarkan perbaikan untuk kelemahan tersebut.

Baca juga:

• 7 perangkat lunak faktur Windows 10 terbaik untuk digunakan
• Wallet untuk Windows 10 Mobile menghadirkan pembayaran seluler tanpa kontak ke Orang Dalam