Google OAuth, attenzione ai dati altrui che gli aggressori possono recuperare

OAuth (Open Authorization) è uno standard aperto per l’autenticazione e l’autorizzazione, ampiamente utilizzato da Google per consentire agli utenti di accedere a servizi di terze parti senza condividere direttamente le credenziali di accesso (nome utente e password). Il sistema Google OAuth permette agli utenti di utilizzare il proprio account Google per effettuare il login su applicazioni e piattaforme esterne, come Slack, Zoom, Notion e così via, in modo pratico e sicuro.

Con Google OAuth gli utenti che premono il pulsante Continua con Google o Accedi con Google nel form di login possono sfruttare il sistema ospitato sui server dell’azienda di Mountain View che convalida l’identità nel momento in cui si richiede l’utilizzo di un’applicazione o di un servizio di terze parti.

I ricercatori di Trufflesecurity, tuttavia, hanno scoperto una lacuna di sicurezza che può esporre dati appartenenti ad altri soggetti. Vediamo di che cosa si tratta.

Il problema scoperto in Google OAuth: di cosa si tratta

Inizialmente, dopo i primi report, Google non aveva riconosciuto il problema di sicurezza mentre in tempi più recenti, dopo la dimostrazione tenuta da Dylan Ayrey, CEO e co-fondatore di Trufflesecurity, l’azienda fondata da Larry Page e Sergey Brin ha premiato i ricercatori con una ricompensa superiore a 1.300 dollari.

Il problema principale risiede nel fatto che Google OAuth non protegge i detentori degli account originali rispetto all’acquisto, da parte di terzi, di nomi di dominio ormai abbandonati, ad esempio, da startup e società che hanno interrotto le loro attività (i.e fallimento).

Un aggressore può registrare a suo nome un nome di dominio non più in uso dai precedenti intestatari, creare account email che ricalcano quelli usati in passato e utilizzarli per accedere a piattaforme SaaS (Software-as-a-Service) come Slack, Zoom, Notion, ChatGPT e via dicendo.

Questo metodo consente spesso di accedere a informazioni riservate, come documenti fiscali, dati assicurativi, documenti di riconoscimento e molto altro ancora.

Un esempio pratico mostrato da Trufflesecurity rivela che attraverso l’acquisto di domini presenti nel database di Crunchbase, è di fatto possibile accedere a migliaia di account e volumi imponenti di dati personali.

Il ruolo di Google OAuth e le soluzioni proposte

Nel sistema OAuth di Google, il parametro chiamato sub dovrebbe di norma fungere da identificatore univoco e immutabile per ogni utente. Tuttavia, molte piattaforme come Slack e Notion ignorano questo parametro e si affidano esclusivamente a informazioni come email e hd (hosted domain) restituite da Google OAuth: evidentemente, questi dati possono essere ereditati dai nuovi proprietari del dominio.

Per attenuare il problema, Trufflesecurity suggerisce a Google di introdurre identificatori immutabili per gli utenti e le organizzazioni, garantendo un tracciamento univoco indipendente dal dominio e dall’email.

Le piattaforme SaaS, dal canto loro, potrebbero implementare ulteriori misure di sicurezza, come la verifica della data di registrazione dei domini, l’approvazione da parte degli amministratori e l’utilizzo di fattori di autenticazione addizionali. Tuttavia, tali soluzioni comportano costi aggiuntivi, complicazioni tecniche e una maggiore complessità nel processo di login.

Trufflesecurity invita comunque a non sottovalutare il problema: milioni di account dei dipendenti delle startup fallite sono potenzialmente vulnerabili. Soltanto negli USA, si stima che 6 milioni di persone lavorino nelle startup tecnologiche, delle quali il 90% è destinato a fallire nei prossimi anni. Circa il 50% di queste utilizza Google Workspace.

Credit immagine in apertura: Google