Grammarly corrige una implementación defectuosa de OAuth a través de Facebook

hace 1 año

000000094475.jpg

Los investigadores de seguridad de Salt Labs advirtieron a la herramienta de asistencia de escritura Grammarly, impulsada por inteligencia artificial, sobre una implementación defectuosa del protocolo de identificación OAuth. Este último permite a sus usuarios conectarse a través de sus cuentas de Facebook. Sin embargo, no se han reportado vulnerabilidades ni fugas de datos.

Muy práctico para conectarse automáticamente a servicios web a través de una cuenta de Google, Facebook, etc. Sin embargo, el protocolo OAuth no está exento de riesgos de seguridad cuando se implementa mal. Después de Booking, los investigadores de seguridad de Salt Labs revelaron un uso indebido de OAuth en Grammarly, especialista en soporte de escritura con tecnología de inteligencia artificial, pero también en dos sitios líderes de Indonesia, Vidio (transmisión de video) y Bukalapak (mercado de comercio electrónico).

Descubierta el pasado mes de febrero, esta mala implementación de OAuth se detectó cuando los usuarios de Grammarly iniciaban sesión en sus cuentas a través de Facebook. “El defecto de implementación proviene del hecho de que Grammarly no verifica el token de prueba enviado por Facebook para garantizar que la persona que se conecta a su servicio sea la correcta”, explicó Nicolas Jeanselme, ingeniero de seguridad API de Salt Security.

OAuthFacebook

Esquema de verificación de un usuario que se autentica en Grammarly a través de la implementación OAuth respaldada por Facebook. (crédito: Salt Security)

Compruebe si el token se transmitió correctamente

“Potencialmente, miles de empresas que utilizan la autenticación de Facebook para acceder a sus servicios pueden verse afectadas. Por tanto, deben comprobar que este protocolo se aplica correctamente”, advierte Nicolas Jeanselme. "Esto presupone revisar los pasos involucrados en la transmisión del código único de la aplicación, verificar que el secreto devuelto sea el correcto y proteger adecuadamente las API". Antes de realizar una solicitud API a Facebook para recibir la identidad del usuario que desea conectarse al servicio, es más aconsejable que nunca comprobar si el token de acceso transmitido es correcto y legítimo.

Hasta la fecha no se ha detectado ningún exploit relacionado con este defecto de implementación, que podría haber estado presente durante varios años. Después de arreglar su mala implementación de OAuth, Grammarly agradeció al proveedor de seguridad. “Cuando recibimos una notificación de Salt Security, respondimos rápidamente para corregir la vulnerabilidad e iniciamos una investigación que confirmó que este problema no había comprometido ninguna cuenta de usuario de Grammarly. [...] Como parte de nuestro compromiso con la transparencia y la resolución de problemas antes de que puedan ser explotados, alentamos e invitamos a investigadores de seguridad externos a participar en nuestro programa de recompensas por errores de larga data.

Si quieres conocer otros artículos parecidos a Grammarly corrige una implementación defectuosa de OAuth a través de Facebook puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad