13.337$ Ödüllü Açık: Google'da Cihaz Kodu Akışıyla Hesap Ele Geçirme
Google'ın RFC 8628 cihaz yetkilendirme akışında bulunan, 13.337$ ödüllü confused deputy zafiyeti hesap ele geçirmeye izin veriyordu.
Güvenlik araştırmacısı, Google'ın RFC 8628 cihaz yetkilendirme akışı (TV/CLI girişlerinde kullanılan ikinci ekran doğrulaması) uygulamasında kritik bir 'confused deputy' zafiyeti tespit etti. Yetkilendirme sunucusu, onay URL'sindeki client_id ve scope değerlerinin device_code için verilenlerle eşleştiğini doğrulamıyordu; ayrıca oturum farklı tarayıcılar arasında taşınabiliyordu.
Bu doğrulama eksikliği, prompt=none parametresiyle birleştiğinde saldırganın kurbanın onayı olmadan, tek tıkla ve görünmez şekilde hesabı ele geçirmesine imkan veriyordu. Zafiyet, cihaz kodu akışının güven modelini temelden zayıflatıyor ve OAuth istemci kimliği doğrulamasının ne kadar kritik olduğunu gösteriyordu.
Google, bildirimi 13.337 dolarlık ödülle onayladı. Bulgu, mühendislere OAuth 2.0 device flow implementasyonlarında client_id/scope bağlama kontrollerinin ve cross-session token taşınabilirliğinin nasıl denetlenmesi gerektiğine dair somut bir örnek sunuyor.