Cum milioane de aplicații sunt vulnerabile la o singură securitate
La conferința de securitate Black Hat Europe din acest an, doi cercetători de la Universitatea chineză din Hong Kong au prezentat cercetări care au arătat un exploit care afectează aplicațiile Android care ar putea lăsa peste un miliard de aplicații instalate vulnerabile la atac.
Exploatarea se bazează pe un atac de tip "man-in-the-middle" al implementării mobile a standardului de autorizare OAuth 2.0. Sună foarte tehnic, dar ce înseamnă de fapt și datele dvs. sunt sigure?
Ce este OAuth?
OAuth este un standard deschis folosit de mai multe site-uri web și aplicații. 3 Condiții esențiale de securitate trebuie să înțelegeți trei termeni esențiali de securitate pe care trebuie să îi înțelegeți confundați prin criptare? Defazate de OAuth, sau pietrificate de Ransomware? Să aruncăm o privire asupra câtorva dintre termenii de securitate cei mai frecvent utilizați și exact ce înseamnă ei. Citiți mai multe pentru a vă permite să vă conectați la o aplicație sau un site web terță parte utilizând un cont de la unul dintre mulții furnizori OAuth. Unele dintre cele mai comune și bine cunoscute exemple sunt Google, Facebook și Twitter.
Butonul Single Sign On (SSO) vă permite să acordați acces la informațiile contului dvs. Când faceți clic pe butonul Facebook, aplicația sau site-ul terță parte caută un jeton de acces, acordându-i acces la informațiile dvs. din Facebook.
Dacă acest cod nu este găsit, vi se va solicita să permiteți accesul terțului la contul dvs. Facebook. După ce ați autorizat acest lucru, Facebook primește un mesaj de la terță parte solicitând un jeton de acces.
Facebook răspunde cu un simbol, acordând accesul terților la informațiile pe care le-ați specificat. De exemplu, permiteți accesul la informațiile de bază despre profil și la lista de prieteni, dar nu la fotografiile dvs. Partea terță primește token-ul și vă permite să vă conectați cu acreditările dvs. Facebook. Apoi, atâta timp cât tokenul nu expiră, acesta va avea acces la informațiile pe care le-ați autorizat.
Acest lucru pare a fi un sistem minunat. Trebuie să vă amintiți mai puține parole și să vă conectați cu ușurință și să vă verificați informațiile cu ajutorul unui cont pe care îl aveți deja. Butoanele SSO sunt chiar mai utile pe telefonul mobil atunci când se creează parole noi, unde autorizarea unui nou cont poate dura mult timp.
Care este problema?
Cel mai recent cadru OAuth - OAuth 2.0 - a fost lansat în octombrie 2012 și nu a fost conceput pentru aplicații mobile. Acest lucru a dus la numeroși dezvoltatori de aplicații care trebuie să implementeze OAuth pe cont propriu, fără îndrumări cu privire la modul în care ar trebui să se facă în mod sigur.
Cu toate că OAuth pe site-uri web utilizează o comunicare directă între serverele terților și furnizorilor SSO, aplicațiile mobile nu utilizează această metodă de comunicare directă. În schimb, aplicațiile mobile comunică unii pe alții prin intermediul dispozitivului.
Atunci când utilizează OAuth pe un site web, Facebook furnizează informațiile despre tokenul de acces și de autentificare direct pe serverele terțelor părți. Aceste informații pot fi validate înainte de a vă înregistra sau de a accesa datele personale.
Cercetatorii au descoperit ca un procent mare de aplicatii Android au lipsit de aceasta validare. În schimb, serverele Facebook trimit tokenul de acces la aplicația Facebook. Indicele de acces va fi apoi livrat aplicației terță parte. Aplicația terță parte vă va permite apoi să vă conectați, fără a verifica dacă serverele Facebook conțin informații despre utilizator.
Atacatorul ar putea să se autentifice ca atare, declanșând cererea tokenului OAuth. Odată ce Facebook a autorizat jetonul, ei s-ar putea insera între serverele Facebook și aplicația Facebook. Atacatorul ar putea schimba apoi id-ul de utilizator pe token la victima. Numele de utilizator este, de obicei, accesibil și pentru public, astfel încât există foarte puține bariere pentru atacator. Odată ce ID-ul de utilizator a fost modificat - dar autorizarea este încă acordată - aplicația terță parte se va autentifica în contul victimei.
Acest tip de exploatare este cunoscut sub numele de atacul om-in-mijloc (MitM). Ce este un atac la om? Jigonul de securitate a explicat ce este un atac la om? Jigonul de securitate explicat Dacă ați auzit de atacurile "om-în-mijloc", dar nu sunteți sigur de ce înseamnă asta, acesta este articolul pentru dvs. Citeste mai mult . Aici atacatorul este capabil să intercepteze și să modifice datele, în timp ce cele două părți consideră că comunică direct între ele.
Cum te afectează acest lucru?
Dacă un atacator este capabil să păcălească o aplicație în a crede că ești tu, atunci hackerul are acces la toate informațiile pe care le stochezi în acel serviciu. Cercetătorii au creat tabelul prezentat mai jos, în care sunt enumerate câteva informații pe care le puteți expune pe diferite tipuri de aplicații.
Unele tipuri de informații sunt mai puțin dăunătoare decât altele. Este mai puțin probabil să vă faceți griji cu privire la expunerea istoriei dvs. de citire a știrilor decât la toate planurile de călătorie sau la capacitatea de a trimite și primi mesaje private în numele dvs. Este o rememorare atentă a tipurilor de informații pe care le încredințăm în mod obișnuit terților și consecințele folosirii necorespunzătoare a acestora.
Ar trebui să vă faceți griji?
Cercetătorii au descoperit că 41,21% dintre cele 600 de aplicații cele mai populare care acceptă SSO din Magazin Google Play au fost vulnerabile la atacul MitM. Acest lucru ar putea să lase miliarde de utilizatori din întreaga lume expuși la acest tip de atac. Echipa a realizat cercetarea pe Android, dar cred că poate fi replicată pe iOS. Acest lucru ar putea lăsa milioane de aplicații pe cele două mari sisteme de operare mobile vulnerabile la acest atac.
La momentul redactării, nu au existat declarații oficiale de la Internet Engineering Task Force (IETF), care au elaborat specificațiile OAuth 2.0. Cercetătorii au refuzat să denumească aplicațiile afectate, deci trebuie să fiți precauți când utilizați SSO în aplicațiile mobile.
Există o căptușeală de argint. Cercetătorii au anunțat deja Google și Facebook, precum și alți furnizori SSO ai exploatației. În plus, aceștia lucrează împreună cu dezvoltatorii afectați de terți pentru a rezolva problema.
Ce puteți face acum?
În timp ce o soluție ar putea fi în drum, există mult de aplicații afectate pentru a fi actualizate. Este posibil ca acest lucru să dureze ceva timp, așa că este posibil să nu merită să utilizați SSO între timp. În schimb, atunci când vă înregistrați pentru un cont nou, asigurați-vă că ați creat o parolă puternică 6 Sfaturi pentru crearea unei parole indestructibile pe care le puteți aminti 6 sfaturi pentru a crea o parolă nedetectabilă pe care le puteți aminti Dacă parolele dvs. nu sunt unice și indestructibile, de asemenea, deschideți ușa din față și invitați hoții la prânz. Citiți mai mult, nu veți uita. Fie că utilizați un manager de parole Cum Manageri de parole păstrați-vă parolele în siguranță Cum managerii de parole păstrează parolele dvs. Securitate Parolele care sunt greu de crack sunt de asemenea greu de reținut. Vrei să fii în siguranță? Aveți nevoie de un manager de parole. Iată cum funcționează și cum vă păstrează în siguranță. Citește mai mult pentru a face ridicarea greu pentru tine.
Este o practică bună să efectuați o verificare de securitate proprie Protejați-vă cu o verificare anuală a securității și confidențialității Protejați-vă cu o verificare anuală a securității și confidențialității Suntem aproape două luni în noul an, dar mai avem timp pentru a face o rezoluție pozitivă. Uitați de băut mai puțin cofeină - vorbim despre luarea de măsuri pentru a proteja securitatea online și confidențialitatea. Citiți mai multe din timp în timp. Google vă va recompensa chiar și în spațiul de stocare în cloud Google Checkup de 5 minute vă va oferi 2 GB de spațiu liber Această verificare Google de 5 minute vă va oferi 2 GB de spațiu liber Dacă luați cinci minute pentru a trece prin acest control de securitate, vă dau 2 GB de spațiu liber pe Google Drive. Citiți mai multe pentru efectuarea verificării. Acesta este momentul ideal pentru a verifica ce aplicații ați permis să utilizați Login social? Efectuați acești pași pentru a vă asigura conturile utilizând Login social? Luați acești pași pentru a vă asigura conturile Dacă utilizați un serviciu de conectare socială (cum ar fi Google sau Facebook), atunci ați putea crede că totul este sigur. Nu este așa - este timpul să aruncăm o privire la slăbiciunile logodinelor sociale. Citiți mai multe despre conturile SSO. Acest lucru este deosebit de important pe un site cum ar fi Facebook Cum să vă gestionați conectările Facebook de la terțe părți [Sfaturi Facebook săptămânal] Cum să vă gestionați conectările Facebook de la terțe părți [Facebook Sfaturi săptămânale] De câte ori ați permis ca un site terță parte să aibă accesați contul dvs. Facebook? Iată cum vă puteți gestiona setările. Citește mai mult, care stochează o cantitate imensă de informații foarte personale Cum se face în bulk Descărcați datele dvs. de pe Facebook și ce informații Arhivele conțin Cum se face în vrac Descărcați datele dvs. din Facebook și ce informații conțin Archiva În urma unei decizii a instanței europene, Facebook recent a modernizat caracteristica permite utilizatorilor să descarce o arhivă a datelor lor personale. Opțiunea de arhivare a fost disponibilă din 2010 și include fotografii, videoclipuri și mesaje, ... Citește mai mult .
Credeți că este timpul să vă îndepărtați de la Single Sign On? Care credeți că este cea mai bună metodă de conectare? Ați fost afectat de acest exploit? Spuneți-ne în comentariile de mai jos!
Credite de imagine: Marc Bruxelle / Shutterstock
Explorați mai multe despre: Facebook, Smartphone Security.