OAuthにおける認可コード横取り攻撃とその対策

OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア

[ritou]

クライアント認証とリダイレクトURIのハンドリングの関係は独立していることは認識してもらいたい。重要なのはネイティブアプリにおいてクライアント認証できない、カスタムURI重複の問題が交差するということ。

[field_combat]

リダイレクトURIを不正アプリのカスタムURLで横取りできる

[efcl]

PKCEによるOAuthの乗っ取り対策のコード例

[rryu]

ネイティブアプリでOAuthする際にカスタムURLスキームを使ってはいけない話。

[yamadar]

なるほど、これなら確かに横取りできるな。対策もなるほど

[yujiorama]

偽アプリはどうやってclient_idを知るんだろう。公開情報なんだっけ

[DecoyMaker]

“RFC 8252や現状のOAuth 2.1では、リダイレクトURIにはカスタムURLスキームよりも、ユニバーサルリンクのような乗っ取りが困難なHTTP URLスキームの使用を推奨”

[NOV1975]

「リダイレクトURIにはカスタムURLスキームよりも、ユニバーサルリンクのような乗っ取りが困難なHTTP URLスキームの使用を推奨している。」こっちが本道だよな。