Gabriel Brooks
0 
4152
1075
Na ovogodišnjoj konferenciji o sigurnosti Black Hat Europe, dva istraživača sa kineskog sveučilišta u Hong Kongu predstavila su istraživanje koje je pokazalo iskorištavanje koje utječe na Androidove aplikacije koje bi potencijalno mogle ostaviti preko milijardu instaliranih aplikacija ranjivim za napad.
Eksploatacija se temelji na napadu čovjeka u sredini mobilne implementacije OAuth 2.0 autorizacijskog standarda. To zvuči vrlo tehnički, ali što to zapravo znači i jesu li vaši podaci sigurni?
Što je OAuth?
OAuth je otvoreni standard koji koriste mnoge web stranice i aplikacije. 3 Osnovni sigurnosni uvjeti koje trebate razumjeti 3 osnovna sigurnosna uvjeta koja trebate razumjeti Zbunjeni šifriranjem? Zbunjen od strane OAutta ili okamenjen od strane Ransomwarea? Razmotrimo neke od najčešće korištenih sigurnosnih izraza i točno ono što znače. kako biste vam omogućili prijavu u aplikaciju ili web mjesto treće strane pomoću računa jednog od mnogih pružatelja usluga OAuth. Neki od najčešćih i dobro poznatih primjera su Google, Facebook i Twitter.
Gumb Jedinstvena prijava (SSO) omogućava vam pristup informacijama o vašem računu. Kada kliknete Facebook gumb, aplikacija ili web stranica treće strane traži pristupni žeton i omogućava joj pristup vašim podacima na Facebooku.
Ako ovaj žeton nije pronađen, od vas će se tražiti da dopustite trećoj strani pristup vašem Facebook računu. Nakon što ste to odobrili, Facebook od treće strane prima poruku koja traži pristupni žeton.
Facebook odgovara tokenom, omogućavajući trećoj strani pristup informacijama koje ste naveli. Na primjer, odobrite pristup osnovnim podacima o profilu i popisu prijatelja, ali ne i vašim fotografijama. Treća strana prima token i omogućava vam da se prijavite sa svojim Facebook vjerodajnicama. Zatim, sve dok token ne istekne, imat će pristup informacijama koje ste ovlastili.
Čini se da je to sjajan sustav. Morate se sjetiti manje lozinki i lako se prijaviti i potvrditi svoje podatke pomoću računa koji već imate. SSO gumbi su još korisniji na mobilnim uređajima gdje se stvaraju nove lozinke, za autorizaciju novog računa može biti potrebno puno vremena.
U čemu je problem?
Najnoviji OAuth okvir - OAuth 2.0 - objavljen je u listopadu 2012., i nije bio dizajniran za mobilne aplikacije. To je dovelo do toga da su mnogi programeri aplikacija sami morali implementirati OAuth, bez uputa o tome kako to treba učiniti sigurno.
Dok OAuth na web stranicama koristi izravnu komunikaciju između poslužitelja treće strane i pružatelja SSO usluga, mobilne aplikacije ne koriste ovu metodu izravne komunikacije. Umjesto toga, mobilne aplikacije međusobno komuniciraju putem svog uređaja.
Kada koristite OAuth na web mjestu, Facebook dostavlja pristupne tokene i podatke za provjeru autentičnosti izravno na treće poslužitelje. Te se informacije tada mogu provjeriti prije nego što se korisnik prijavi ili pristupi bilo kojim osobnim podacima.
Istraživači su otkrili da velikom postotku Androidovih aplikacija nedostaje ta provjera. Umjesto toga, Facebookovi poslužitelji šalju token pristupa Facebook aplikaciji. Oznaka pristupa tada bi se isporučila aplikaciji treće strane. Aplikacija treće strane tada bi vam omogućila prijavu, bez provjere na Facebookovim poslužiteljima da su podaci o korisnicima legitimni.
Napadač se može prijaviti kao sami, aktivirajući zahtjev za token OAuth. Jednom kada Facebook odobri token, mogli bi se umetnuti između Facebookovih poslužitelja i Facebook aplikacije. Napadač bi tada mogao promijeniti korisnički ID na žetonu u žrtvin. Korisničko ime je obično javno dostupno, tako da postoji vrlo malo prepreka za napadača. Nakon što se promijeni korisnički ID - ali odobrenje je ipak odobreno - aplikacija treće strane prijavit će se na račun žrtve.
Ova vrsta iskorištavanja poznata je kao napad čovjeka-u-sredini (MitM) Što je napad Čovjek u sredini? Sigurnosni žargon objasnio što je napad Čovjek u sredini? Objašnjen sigurnosni žargon Ako ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. , Ovo je mjesto gdje napadač može presresti i promijeniti podatke, dok dvije strane vjeruju da međusobno komuniciraju izravno.
Kako to utječe na vas?
Ako napadač uspije prevariti neku aplikaciju da vjeruje da je to on, haker dobija pristup svim informacijama koje pohranjujete u toj usluzi. Istraživači su stvorili dolje prikazanu tablicu u kojoj su navedene neke informacije koje možete izložiti o različitim vrstama aplikacija.
Neke su vrste informacija manje štetne od drugih. Manje je vjerojatno da ćete se zabrinuti za otkrivanje povijesti čitanja vijesti od svih vaših planova putovanja ili mogućnosti slanja i primanja privatnih poruka na vaše ime. To je otrežnjujući podsjetnik na vrste informacija koje redovito povjeravamo trećim stranama - i posljedice njezine zlouporabe.
Trebate li brinuti?
Istraživači su otkrili da je 41,21% od 600 najpopularnijih aplikacija koje podržavaju SSO u Google Play Storeu ranjivo na napad MitM. To bi potencijalno moglo ostaviti milijune korisnika širom svijeta izloženih ovoj vrsti napada. Tim je proveo svoje istraživanje na Androidu, ali smatraju da se to može ponoviti na iOS-u. To bi potencijalno ostavilo milijune aplikacija na dva najveća mobilna operativna sustava ranjivim za ovaj napad.
Kreditna slika: Bloomicon putem Shutterstocka
U vrijeme pisanja tekstova nije bilo službenih izjava internetske tehničke skupine (IETF) koja je razvila OAuth 2.0 specifikacije. Istraživači su odbili dati ime pogođenim aplikacijama, tako da biste trebali biti oprezni pri korištenju SSO-a na mobilnim aplikacijama.
Ima srebrnu oblogu. Istraživači su već upozorili Google i Facebook te ostale pružatelje usluga SSO-a na iskorištavanje. Povrh toga, oni rade zajedno s pogođenim razvojnim programerima da bi riješili problem.
Što sada možete učiniti?
Iako je popravljanje možda na putu, postoje puno aplikacija na koje se to odnosi treba ažurirati. To će vjerojatno potrajati neko vrijeme, pa bi moglo biti vrijedno u međuvremenu ne upotrebljavati SSO. Umjesto toga, kada se registrirate za novi račun, provjerite jeste li stvorili jaku lozinku. 6 Savjeti za stvaranje neraskidive lozinke po kojoj se možete sjetiti 6 savjeta za stvaranje neraskidive lozinke koje se možete sjetiti Ako vaše lozinke nisu jedinstvene i neraskidive, možda biste mogli i otvorite ulazna vrata i pozovite pljačkaše na ručak. nećete zaboraviti. Ili to ili koristite upravitelj lozinki Kako se upravitelji lozinki čuvaju zaporke kako menadžeri lozinki čuvaju sigurne lozinke koje je teško probiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. obaviti teška dizanja za vas.
Dobra je praksa da provedete vlastiti sigurnosni pregled. Zaštitite se uz godišnju provjeru sigurnosti i privatnosti. Zaštitite se godišnjom provjerom sigurnosti i privatnosti Gotovo smo dva mjeseca u novu godinu, ali još uvijek ima vremena za donošenje pozitivne odluke. Zaboravite piti manje kofeina - govorimo o poduzimanju koraka za zaštitu mrežne sigurnosti i privatnosti. s vremena na vrijeme. Google će vas čak i nagraditi u pohrani u oblaku. Ovaj 5-minutni Google pregled dat će vam 2 GB slobodnog prostora Ovaj 5-minutni Google pregled dat će vam 2 GB slobodnog prostora Ako vam treba pet minuta da prođete kroz ovu sigurnosnu provjeru, Google će daju vam 2 GB slobodnog prostora na Google disku. za izvršavanje njihovog pregleda. Ovo je idealno vrijeme da provjerite koje ste aplikacije dali dozvolu za upotrebu društvenog prijave? Poduzmite ove korake za osiguranje računa pomoću društvene prijave? Poduzmite ove korake za osiguranje računa Ako koristite uslugu društvene prijave (kao što je Google ili Facebook), možda mislite da je sve sigurno. Nije tako - vrijeme je da pogledate slabosti društvenih podataka. na vašim SSO računima. Ovo je posebno važno na web mjestu poput Facebooka Kako upravljati svojim Facebook prijavama trećih strana [Tjedni Facebook savjeti] Kako upravljati svojim Facebook prijavama trećih strana [Tjedni Facebook savjeti] Koliko puta ste dozvolili da stranica treće strane ima pristup vašem Facebook računu? Evo kako možete upravljati svojim postavkama. , koja pohranjuje ogromnu količinu vrlo osobnih podataka Kako skupno preuzimanje vaših podataka na Facebooku i kakve informacije Arhiva sadrži kako skupno preuzimanje vaših podataka s Facebooka i koje informacije sadrži arhiva Nakon odluke europskog suda, Facebook je nedavno nadogradio značajku koja omogućuje korisnicima preuzeti arhivu svojih osobnih podataka. Opcija arhive dostupna je od 2010. godine i uključuje fotografije, videozapise i poruke,… .
Mislite li da je vrijeme da se odmaknete od Single Sign On-a? Što mislite, što je najbolja metoda prijave? Jeste li bili pogođeni ovim eksploatacijom? Javite nam u komentarima u nastavku!
Slikovni krediti: Marc Bruxelle / Shutterstock