Grammarly corrige una implementación defectuosa de OAuth a través de Facebook

Muy práctico para conectarse automáticamente a servicios web a través de una cuenta de Google, Facebook, etc. Sin embargo, el protocolo OAuth no está exento de riesgos de seguridad cuando se implementa mal. Después de Booking, los investigadores de seguridad de Salt Labs revelaron un uso indebido de OAuth en Grammarly, especialista en soporte de escritura con tecnología de inteligencia artificial, pero también en dos sitios líderes de Indonesia, Vidio (transmisión de video) y Bukalapak (mercado de comercio electrónico).

Descubierta el pasado mes de febrero, esta mala implementación de OAuth se detectó cuando los usuarios de Grammarly iniciaban sesión en sus cuentas a través de Facebook. “El defecto de implementación proviene del hecho de que Grammarly no verifica el token de prueba enviado por Facebook para garantizar que la persona que se conecta a su servicio sea la correcta”, explicó Nicolas Jeanselme, ingeniero de seguridad API de Salt Security.

Esquema de verificación de un usuario que se autentica en Grammarly a través de la implementación OAuth respaldada por Facebook. (crédito: Salt Security)

Compruebe si el token se transmitió correctamente

“Potencialmente, miles de empresas que utilizan la autenticación de Facebook para acceder a sus servicios pueden verse afectadas. Por tanto, deben comprobar que este protocolo se aplica correctamente”, advierte Nicolas Jeanselme. "Esto presupone revisar los pasos involucrados en la transmisión del código único de la aplicación, verificar que el secreto devuelto sea el correcto y proteger adecuadamente las API". Antes de realizar una solicitud API a Facebook para recibir la identidad del usuario que desea conectarse al servicio, es más aconsejable que nunca comprobar si el token de acceso transmitido es correcto y legítimo.

Hasta la fecha no se ha detectado ningún exploit relacionado con este defecto de implementación, que podría haber estado presente durante varios años. Después de arreglar su mala implementación de OAuth, Grammarly agradeció al proveedor de seguridad. “Cuando recibimos una notificación de Salt Security, respondimos rápidamente para corregir la vulnerabilidad e iniciamos una investigación que confirmó que este problema no había comprometido ninguna cuenta de usuario de Grammarly. [...] Como parte de nuestro compromiso con la transparencia y la resolución de problemas antes de que puedan ser explotados, alentamos e invitamos a investigadores de seguridad externos a participar en nuestro programa de recompensas por errores de larga data.