Expo框架出现能劫持账号的OAuth重大漏洞

安全研究人员发现，用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞。

Expo框架主要是用于开发移动应用程序，提供一组工具、函数库及服务，让开发人员得以利用单一程序代码基础（codebase）开发iOS、Android及Web应用程序。它其中一项服务是OAuth，让开发人员能将社交登录（social sign-in）组件集成到网站，像是以脸书或Google账号单一登录各种网站。目前Expo框架全球用户高达65万人，许多知名线上服务，包括Facebook都以它来实例OAuth安全验证及其他功能。

Salt Labs研究人员发现的Expo漏洞编号为CVE-2023-28131，位于用于社交登录的AuthSession重导向代理服务器（auth.expo.io）服务中，这个服务让用户通过中介服务（如Facebook、Google）验证网站或App，让用户不必再记忆不同网站或App的密码。新发现的漏洞能让攻击者劫持使用该服务的应用程序／网站的用户账号，并窃取其登录凭证。一旦受害者点入恶意连接就会发生，攻击者可以通过电子邮件、文本消息或其他方式发送攻击者控制的恶意网站连接。成功攻击的结果包括诈骗、窃取信用卡或个人信息等后果，恶意攻击者还可能冒用Facebook、Google、Twitter或其他线上平台的用户身份为非作歹。

CVE-2023-28131风险值被列为CVSS 3.1的9.6，属于重大漏洞。

接获通报后，Expo维护单位已发布hotfix暂时缓解攻击风险，且指出目前没有漏洞攻击的证据。但Expo认为App应直接和第三方验证供应商注册直接连接，而不应使用中介服务，不只因为安全，也较为稳定。因此Expo建议使用AuthSession模块中useProxy选项的App/网站，未来应转移以免除风险。

Expo已经在最新SDK 48版及auth.expo.io服务的AuthSession模块移除useProxy选项。此外，虽然目前没有紧急转移的必要性。但如果用户希望从useProxy和auth.expo.io服务改成使用直接连接，Expo也提供指引。