Annonse
På årets sikkerhetskonferanse Black Hat Europe var to forskere fra det kinesiske Hong Kong University presentert forskning som viste en utnyttelse som påvirker Android-apper som potensielt kan etterlate over en milliard installerte applikasjoner sårbare for angrep.
Utnyttelsen er avhengig av et menneske-i-midten-angrep av den mobile implementeringen av OAuth 2.0-autorisasjonsstandarden. Det høres veldig teknisk ut, men hva betyr det egentlig, og er dataene dine trygge?
Hva er OAuth?
OAuth er en åpen standard som brukes av mange nettsteder og apper 3 Viktige sikkerhetsvilkår du trenger å forståForvirret av kryptering? Forvirret av OAuth, eller forstenet av Ransomware? La oss pusse opp noen av de mest brukte sikkerhetsbetingelsene, og nøyaktig hva de betyr. Les mer for å tillate deg å logge inn på en tredjeparts app eller nettsted ved å bruke en konto fra en av de mange OAuth-leverandørene. Noen av de vanligste og kjente eksemplene er Google, Facebook og Twitter.
SSO-knappen (Single Sign On) lar deg gi tilgang til kontoinformasjonen din. Når du klikker på Facebook-knappen, ser tredjepartsappen eller nettstedet etter et tilgangstoken, og gir den tilgang til Facebook-informasjonen din.
Hvis dette symbolet ikke blir funnet, vil du bli bedt om å gi tredjepart tilgang til Facebook-kontoen din. Når du har autorisert dette, mottar Facebook en melding fra tredjepart som ber om et tilgangstoken.
Facebook svarer med et symbol og gir tredjepart tilgang til informasjonen du spesifiserte. For eksempel gir du tilgang til den grunnleggende profilinformasjonen og vennelisten, men ikke bildene dine. Tredjeparten mottar symbolet og lar deg logge inn med Facebook-legitimasjonen. Så, så lenge symbolet ikke utløper, vil det ha tilgang til informasjonen du autoriserte.
Dette virker som et flott system. Du må huske mindre passord, og enkelt logge inn og bekrefte informasjonen din med en konto du allerede har. SSO-knappene er enda mer nyttige på mobil der du oppretter nye passord, der autorisering av en ny konto kan være tidkrevende.
Hva er problemet?
Det siste OAuth-rammeverket - OAuth 2.0 - ble utgitt i oktober 2012, og var ikke designet for mobilapper. Dette har ført til at mange apputviklere har måttet implementere OAuth på egenhånd, uten veiledning om hvordan det skal gjøres sikkert.
Mens OAuth på nettsteder bruker direkte kommunikasjon mellom tredjeparts og SSO-leverandørens servere, bruker ikke mobilapper denne direkte kommunikasjonsmetoden. I stedet kommuniserer mobilapper med hverandre gjennom enheten din.
Når du bruker OAuth på et nettsted, leverer Facebook tilgangstoken og autentiseringsinformasjon direkte til tredjepartsservere. Denne informasjonen kan deretter valideres før du logger på brukeren eller får tilgang til personopplysninger.
Forskerne fant at en stor prosentandel Android-applikasjoner manglet denne valideringen. I stedet sender Facebook-serverne tilgangstokenet til Facebook-appen. Tilgangstokenet vil deretter bli levert til tredjepartsappen. Tredjeparts-appen vil da tillate deg å logge på, uten å bekrefte med Facebooks servere at brukerinformasjonen var legitim.
Angriperen kunne logge inn som seg selv, utløse OAuth-tokenforespørselen. Når Facebook har godkjent tokenet, kan de sette seg inn mellom Facebooks servere og Facebook-appen. Angriperen kan deretter endre bruker-ID på token til offerets. Brukernavnet er vanligvis offentlig tilgjengelig informasjon også, så det er veldig få barrierer for angriperen. Når bruker-IDen er endret - men autorisasjonen fremdeles er gitt - vil tredjepartsappen logge inn på offerets konto.
Denne typen utnyttelse er kjent som en mann-i-midten-angrep (MitM) Hva er et menneske i midten-angrep? Sikkerhetssjargong forklartHvis du har hørt om "mann-i-midten" -angrep, men ikke er helt sikker på hva det betyr, er dette artikkelen for deg. Les mer . Det er her angriperen er i stand til å avskjære og endre data, mens de to partene mener de kommuniserer direkte med hverandre.
Hvordan påvirker dette deg?
Hvis en angriper er i stand til å lure en app til å tro at han er du, får hackeren tilgang til all informasjonen du lagrer i den tjenesten. Forskerne opprettet tabellen nedenfor som viser noe av informasjonen du kan eksponere for forskjellige typer apper.
Noen typer informasjon er mindre skadelige enn andre. Det er mindre sannsynlig at du er bekymret for å avsløre nyhetsleseloggen enn alle reiseplanene dine, eller muligheten til å sende og motta private meldinger i ditt navn. Det er en nøktern påminnelse om hvilke typer informasjon vi regelmessig overlater til tredjepart - og konsekvensene av dens misbruk.
Bør du bekymre deg?
Forskerne fant at 41,21% av de 600 mest populære appene som støtter SSO i Google Play Store, var sårbare for MitM-angrepet. Dette kan potensielt gi milliarder brukere over hele verden utsatt for denne typen angrep. Teamet gjennomførte forskningen sin på Android, men de tror at den kan kopieres på iOS. Dette vil potensielt la millioner av apper på de to største mobile operativsystemene være sårbare for dette angrepet.
I skrivende stund har det ikke kommet noen offisielle uttalelser fra internet Engineering Task Force (IETF) som utviklet OAuth 2.0-spesifikasjonene. Forskerne har avvist å navngi de berørte appene, så du bør utvise forsiktighet når du bruker SSO på mobilapper.
Det er et sølvfor. Forskerne har allerede varslet Google og Facebook, og andre SSO-leverandører om utnyttelsen. På toppen av det jobber de sammen med de berørte tredjepartsutviklerne for å løse problemet.
Hva kan du gjøre nå?
Mens en løsning kanskje er på vei, er det det mye av berørte apper som skal oppdateres. Dette vil sannsynligvis ta litt tid, så det kan være verdt å ikke bruke SSO i mellomtiden. I stedet, når du registrerer deg for en ny konto, må du sørge for at du gjør det opprette et sterkt passord 6 tips for å opprette et ikke brytbart passord som du kan huskeHvis passordene dine ikke er unike og uknuselige, kan du like gjerne åpne inngangsdøren og invitere ranerne inn til lunsj. Les mer du vil ikke glemme det. Enten det eller bruk en passordbehandling Hvordan passordledere holder passordene dine tryggePassord som er vanskelig å sprekke er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygg. Les mer å gjøre det tunge løftet for deg.
Det er god praksis å gjennomfør din egen sikkerhetskontroll Beskytt deg selv med en årlig sikkerhetskontroll og personvernkontrollVi er nesten to måneder inn i det nye året, men det er fremdeles tid til å ta en positiv resolusjon. Glem å drikke mindre koffein - vi snakker om å ta skritt for å ivareta online sikkerhet og personvern. Les mer fra tid til annen. Google vil til og med belønne deg i skylagring Denne 5-minutters Google-sjekken vil gi deg 2 GB ledig plassHvis du tar fem minutter å gå gjennom denne sikkerhetskontrollen, vil Google gi deg 2 GB ledig plass på Google Drive. Les mer for å utføre sin sjekk. Dette er et ideelt tidspunkt å sjekk ut hvilke apper du har gitt tillatelse til Bruker du sosial innlogging? Ta disse trinnene for å sikre kontoene dineHvis du bruker en sosial påloggingstjeneste (for eksempel Google eller Facebook), kan du tro at alt er sikkert. Ikke slik - det er på tide å se på svakhetene ved sosiale pålogginger. Les mer på SSO-kontoene dine. Dette er spesielt viktig på et nettsted som Facebook Slik administrerer du tredjeparts Facebook-pålogginger [Ukentlige Facebook-tips]Hvor mange ganger har du tillatt et tredjeparts nettsted å ha tilgang til Facebook-kontoen din? Slik kan du administrere innstillingene dine. Les mer , som lagrer a enorme mengder veldig personlig informasjon Hvordan laste ned hele Facebook-historikkenGjennom årene har Facebook samlet mye data om deg. I denne artikkelen forklarer vi hvordan du laster ned Facebook-historikken din, og hva du sannsynligvis vil lure i. Les mer .
Tror du det er på tide å flytte fra Single Sign On? Hva synes du er den beste påloggingsmetoden? Har du blitt påvirket av denne utnyttelsen? Gi oss beskjed i kommentarene nedenfor!
Bildetillegg: Marc Bruxelle / Shutterstock
James er MakeUseOfs kjøpeguider og maskinvare Nyheter Redaktør og frilansskribent brenner for å gjøre teknologi tilgjengelig og trygt for alle. Ved siden av teknologi, også interessert i helse, reise, musikk og mental helse. BIng i maskinteknikk fra University of Surrey. Du finner også skriver om kronisk sykdom hos PoTS Jots.