OAuth sirve como un estándar abierto para la autenticación basada en tokens empleada por muchos gigantes de Internet, incluido PayPal. Es por eso que el descubrimiento de una falla crítica en el servicio de pagos en línea que podría haber permitido a los piratas informáticos robar tokens OAuth de los usuarios ha enviado a PayPal a lanzar un parche.

Antonio Sanso, investigador de seguridad e ingeniero de software de Adobe, descubrió la falla después de probar su propio cliente OAuth. Además de PayPal, Sanso también detectó la misma vulnerabilidad en otros servicios importantes de Internet como Facebook y Google.

Sanso dice que el problema radica en la forma en que PayPal maneja el parámetro redirect_uri para dar a las aplicaciones ciertos tokens de autenticación. El servicio ha estado utilizando verificaciones de redireccionamiento mejoradas para confirmar el parámetro redirect_uri desde 2015. Aún así, no impidió que Sanso omitiera estas verificaciones cuando comenzó a investigar el sistema en septiembre.

PayPal permite a los desarrolladores usar un panel de control que puede generar solicitudes de token para alistar sus aplicaciones con el servicio. Las solicitudes de token resultantes se envían a un servidor de autorización de PayPal. Ahora, Sanso encontró un error en cómo PayPal reconoce un host local como un parámetro válido redirect_uri durante el proceso de autenticación. Dijo que este método implementó erróneamente OAuth.

Jugar el sistema de validación

Sanso luego pasó al juego del sistema de validación de PayPal y le hizo revelar los tokens de autenticación OAuth, que de otro modo serían confidenciales. Se las arregló para engañar al sistema agregando una cierta entrada de sistema de nombre de dominio a su sitio web, señalando que localhost sirvió como la palabra mágica para anular el proceso de validación de coincidencia exacta de PayPal.

La vulnerabilidad podría haber comprometido a cualquier cliente de PayPal OAuth según Sanso. Aconsejó a los usuarios crear un redirect_uri muy específico al hacer un cliente OAuth. Sanso escribió en una publicación de blog:

DEBE registrarse https: // yourouauthclientcom / oauth / oauthprovider / callback. NO SOLO https: // yourouauthclientcom / o https: // yourouauthclientcom / oauth.

PayPal no creyó los hallazgos de Sanso al principio, aunque la compañía finalmente reconsideró su decisión y ahora emitió una solución a la falla.

Lee también:

• 7 mejores software de facturación de Windows 10 para usar
• Wallet para Windows 10 Mobile trae pagos móviles sin contacto a Insiders