Expo框架出现能劫持账号的OAuth重大漏洞
安全研究人员发现,用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞。
Expo框架主要是用于开发移动应用程序,提供一组工具、函数库及服务,让开发人员得以利用单一程序代码基础(codebase)开发iOS、Android及Web应用程序。它其中一项服务是OAuth,让开发人员能将社交登录(social sign-in)组件集成到网站,像是以脸书或Google账号单一登录各种网站。目前Expo框架全球用户高达65万人,许多知名线上服务,包括Facebook都以它来实例OAuth安全验证及其他功能。
Salt Labs研究人员发现的Expo漏洞编号为CVE-2023-28131,位于用于社交登录的AuthSession重导向代理服务器(auth.expo.io)服务中,这个服务让用户通过中介服务(如Facebook、Google)验证网站或App,让用户不必再记忆不同网站或App的密码。新发现的漏洞能让攻击者劫持使用该服务的应用程序/网站的用户账号,并窃取其登录凭证。一旦受害者点入恶意连接就会发生,攻击者可以通过电子邮件、文本消息或其他方式发送攻击者控制的恶意网站连接。成功攻击的结果包括诈骗、窃取信用卡或个人信息等后果,恶意攻击者还可能冒用Facebook、Google、Twitter或其他线上平台的用户身份为非作歹。
CVE-2023-28131风险值被列为CVSS 3.1的9.6,属于重大漏洞。
接获通报后,Expo维护单位已发布hotfix暂时缓解攻击风险,且指出目前没有漏洞攻击的证据。但Expo认为App应直接和第三方验证供应商注册直接连接,而不应使用中介服务,不只因为安全,也较为稳定。因此Expo建议使用AuthSession模块中useProxy选项的App/网站,未来应转移以免除风险。
Expo已经在最新SDK 48版及auth.expo.io服务的AuthSession模块移除useProxy选项。此外,虽然目前没有紧急转移的必要性。但如果用户希望从useProxy和auth.expo.io服务改成使用直接连接,Expo也提供指引。
