Sådan såres millioner af apps med en enkelt sikkerhedshack

  • Owen Little
  • 0
  • 4613
  • 352
Reklame

På dette års sikkerhedskonference for Black Hat Europe præsenterede to forskere fra det kinesiske Hong Kong University forskning, der viste en udnyttelse, der påvirker Android-apps, der potentielt kunne efterlade over en milliard installerede applikationer sårbare over for angreb.

Udnyttelsen er afhængig af et mand-i-midten-angreb af den mobile implementering af OAuth 2.0-autorisationsstandarden. Det lyder meget teknisk, men hvad betyder det faktisk, og er dine data sikre?

Hvad er OAuth?

OAuth er en åben standard brugt af mange websteder og apps 3 Væsentlige sikkerhedsbetingelser, du har brug for at forstå 3 Væsentlige sikkerhedsbetingelser, du har brug for at forstå Forvirret ved kryptering? Forvirret af OAuth eller forstenet af Ransomware? Lad os fortælle nogle af de mest almindeligt anvendte sikkerhedsbetingelser, og nøjagtigt hvad de betyder. for at give dig mulighed for at logge ind på en tredjeparts app eller websted ved hjælp af en konto fra en af ​​de mange OAuth-udbydere. Nogle af de mest almindelige og velkendte eksempler er Google, Facebook og Twitter.

Knappen Single Sign On (SSO) giver dig mulighed for at give adgang til dine kontooplysninger. Når du klikker på Facebook-knappen, ser tredjepartsappen eller webstedet efter et adgangstoken og giver det adgang til dine Facebook-oplysninger.

Hvis dette token ikke findes, bliver du bedt om at give tredjepart adgang til din Facebook-konto. Når du har godkendt dette, modtager Facebook en besked fra tredjepart, der beder om et adgangstoken.

Facebook reagerer med et symbol og giver tredjepart adgang til de oplysninger, du har angivet. For eksempel giver du adgang til dine grundlæggende profiloplysninger og venneliste, men ikke dine fotos. Tredjeparten modtager tokenet og giver dig mulighed for at logge ind med dine Facebook-legitimationsoplysninger. Så, så længe tokenet ikke udløber, har det adgang til de oplysninger, du har godkendt.

Dette virker som et godt system. Du skal huske mindre adgangskoder og få let at logge ind og bekræfte dine oplysninger med en konto, du allerede har. SSO-knapperne er endnu mere nyttige på mobilenheder, hvor du opretter nye adgangskoder, hvor autorisering af en ny konto kan være tidskrævende.

Hvad er problemet?

Den seneste OAuth-ramme - OAuth 2.0 - blev frigivet i oktober 2012 og var ikke designet til mobile apps. Dette har ført til, at mange appudviklere er nødt til at implementere OAuth på egen hånd uden vejledning i, hvordan det skal gøres sikkert.

Mens OAuth på websteder bruger direkte kommunikation mellem tredjeparts- og SSO-udbyders servere, bruger mobile apps ikke denne direkte kommunikationsmetode. I stedet kommunikerer mobile apps med hinanden gennem din enhed.

Når du bruger OAuth på et websted, leverer Facebook adgangstoken og autentificeringsoplysninger direkte til tredjepartsservere. Disse oplysninger kan derefter valideres, før brugeren logges ind eller adgang til personlige data.

Forskerne fandt, at en stor procentdel af Android-applikationer manglede denne validering. I stedet sender Facebook-servere adgangstoken til Facebook-appen. Adgangstokenet vil derefter blive leveret til tredjepartsappen. Tredjeparts-appen giver dig derefter mulighed for at logge ind uden at verificere med Facebooks servere, at brugeroplysningerne var legitime.

Angriberen kunne logge ind som sig selv og udløse OAuth-token-anmodningen. Når Facebook har godkendt tokenet, kunne de indsætte sig selv mellem Facebooks servere og Facebook-appen. Angriberen kunne derefter ændre bruger-id på tokenet til offerets. Brugernavnet er normalt også offentligt tilgængelige oplysninger, så der er meget få hindringer for angriberen. Når bruger-ID er ændret - men tilladelsen stadig er tildelt - vil tredjepartsappen logge ind på offerets konto.

Denne type udnyttelse er kendt som et mand-i-midten-angreb (MitM) -angreb Hvad er et mand-i-midten-angreb? Sikkerheds jargon forklaret Hvad er et menneske i midten angreb? Sikkerheds jargon forklaret Hvis du har hørt om "mand-i-midten" -angreb, men ikke er helt sikker på, hvad det betyder, er dette artiklen for dig. . Det er her angriberen er i stand til at aflytte og ændre data, mens de to parter mener, at de kommunikerer direkte med hinanden.

Hvordan påvirker dette dig?

Hvis en angriber kan narre en app til at tro, at han er dig, får hackeren adgang til alle de oplysninger, du gemmer i denne tjeneste. Forskerne oprettede nedenstående tabel, der viser nogle af de oplysninger, du måtte udsætte for forskellige typer apps.

Nogle typer information er mindre skadelige end andre. Du er mindre tilbøjelig til at være bekymret for at afsløre din nyhedslæsningshistorie end alle dine rejseplaner eller muligheden for at sende og modtage private beskeder i dit navn. Det er en nøgtern påmindelse om, hvilke typer information vi regelmæssigt overdrager tredjepart - og konsekvenserne af dets misbrug.

Skal du bekymre dig?

Forskerne fandt, at 41,21% af de 600 mest populære apps, der understøtter SSO i Google Play Store, var sårbare over for MitM-angrebet. Dette kan potentielt give milliarder af brugere overalt i verden udsat for denne type angreb. Holdet gennemførte deres forskning på Android, men de mener, at det kan replikeres på iOS. Dette ville potentielt efterlade millioner af apps på de to største mobile operativsystemer sårbare over for dette angreb.

Billedkredit: Bloomicon via Shutterstock

I skrivende stund har der ikke været nogen officielle erklæringer fra Internet Engineering Task Force (IETF), der udviklede OAuth 2.0-specifikationer. Forskerne har afvist at navngive de berørte apps, så du skal være forsigtig, når du bruger SSO på mobile apps.

Der er en sølvfor. Forskerne har allerede advaret Google og Facebook og andre SSO-udbydere om udnyttelsen. Desuden arbejder de sammen med de berørte tredjepartsudviklere for at løse problemet.

Hvad kan du gøre nu?

Mens en løsning muligvis er på vej, er der en masse af de berørte apps, der skal opdateres. Dette vil sandsynligvis tage nogen tid, så det kan være værd at ikke bruge SSO i mellemtiden. I stedet for, når du tilmelder dig en ny konto, skal du sørge for at oprette en stærk adgangskode 6 tip til oprettelse af en uknuselig adgangskode, som du kan huske 6 tip til oprettelse af en uknuselig adgangskode, som du kan huske, hvis dine adgangskoder ikke er unikke og uknuselige, kan du muligvis samt åbne hoveddøren og inviter røverne ind til frokost. du vil ikke glemme det. Enten det eller brug en adgangskodemanager. Hvordan adgangskodeadministratorer holder dine adgangskoder sikre. Hvordan adgangskodeadministratorerne opbevarer dine adgangskoder. Vil du være sikker? Du har brug for en adgangskodemanager. Her er, hvordan de fungerer, og hvordan de holder dig i sikkerhed. at gøre det tunge løft for dig.

Det er god praksis at gennemføre din egen sikkerhedskontrol. Beskyt dig selv med en årlig sikkerhed og privatlivskontrol. Beskyt dig selv med en årlig sikkerhed og kontrol af privatlivets fred Vi er næsten to måneder ind i det nye år, men der er stadig tid til at tage en positiv beslutning. Glem at drikke mindre koffein - vi taler om at tage skridt til at beskytte online sikkerhed og privatliv. fra tid til anden. Google vil endda belønne dig i cloud-opbevaring Denne 5-minutters Google Checkup giver dig 2 GB ledig plads Denne 5-minutters Google Checkup giver dig 2 GB gratis plads Hvis du tager fem minutter at gennemgå denne sikkerhedskontrol, vil Google giver dig 2 GB ledig plads på Google Drev. for at udføre deres kontrol. Dette er et ideelt tidspunkt at tjekke, hvilke apps du har givet tilladelse til at bruge social login? Tag disse trin for at sikre dine konti ved hjælp af social login? Tag disse trin for at sikre dine konti Hvis du bruger en social login-service (som Google eller Facebook), kan du måske tro, at alt er sikkert. Ikke så - det er på tide at se på svaghederne i sociale logins. på dine SSO-konti. Dette er især vigtigt på et websted som Facebook Sådan administreres dine tredjeparts Facebook-login [Ugentlige Facebook-tip] Sådan administreres dine tredjeparts Facebook-logins [Ugentlige Facebook-tip] Hvor mange gange har du tilladt et tredjeparts websted at have adgang til din Facebook-konto? Her er, hvordan du kan administrere dine indstillinger. , der gemmer en enorm mængde meget personlige oplysninger Sådan bulk downloades dine Facebook-data og hvilke oplysninger arkiverne indeholder Hvordan man bulk downloader dine Facebook-data og hvilke oplysninger arkiverne indeholder Efter en europæisk retsafgørelse opdaterede Facebook for nylig den funktion, der giver brugerne mulighed at downloade et arkiv med deres personlige data. Arkiveringsindstillingen har været tilgængelig siden 2010 og inkluderer fotos, videoer og meddelelser, ... .

Tror du det er tid til at bevæge sig fra Single Sign On? Hvad synes du er den bedste login-metode? Er du blevet påvirket af denne udnyttelse? Fortæl os det i kommentarerne herunder!

Billedkreditter: Marc Bruxelle / Shutterstock




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.