Startseite Bezpečnostní Jak jsou miliony aplikací zranitelné pro jediný bezpečnostní hack

Jak jsou miliony aplikací zranitelné pro jediný bezpečnostní hack

  • Peter Holmes
  • 1
  • 2396
  • 550
reklama

Na letošní bezpečnostní konferenci Black Hat Europe představili dva vědci z čínské univerzity v Hongkongu výzkum, který ukázal exploit ovlivňující aplikace pro Android, který by mohl potenciálně nechat přes miliardu nainstalovaných aplikací náchylných k útoku.

Využití se spoléhá na útok typu man-in-the-middle mobilní implementace autorizačního standardu OAuth 2.0. Zní to velmi technicky, ale co to vlastně znamená a jsou vaše data v bezpečí?

Co je OAuth?

OAuth je otevřený standard, který používá mnoho webů a aplikací. 3 Základní podmínky zabezpečení, které musíte pochopit 3 Základní podmínky zabezpečení, které potřebujete porozumět Jsou zmateny šifrováním? Nepochopení OAuth nebo zkamenělý Ransomware? Podívejme se na některé z nejčastěji používaných bezpečnostních termínů a přesně na to, co znamenají. abyste se mohli přihlásit k aplikaci nebo webu třetí strany pomocí účtu od některého z mnoha poskytovatelů OAuth. Mezi nejčastější a nejznámější příklady patří Google, Facebook a Twitter.

Tlačítko jednotného přihlášení (SSO) vám umožňuje udělit přístup k informacím o vašem účtu. Když kliknete na tlačítko Facebook, aplikace nebo web třetí strany vyhledá přístupový token a udělí mu přístup k vašim informacím na Facebooku.

Pokud tento token není nalezen, budete požádáni o povolení přístupu třetí strany k vašemu účtu Facebook. Jakmile to udělíte, Facebook obdrží zprávu od třetí strany s žádostí o přístupový token.

Facebook odpoví tokenem a udělí třetím stranám přístup k zadaným informacím. Například udělujete přístup k vašim základním informacím o profilu a seznamu přátel, ale ne k vašim fotografiím. Třetí strana obdrží token a umožní vám přihlásit se pomocí svých přihlašovacích údajů na Facebooku. Poté, dokud token nevyprší, bude mít přístup k informacím, které jste autorizovali.

Vypadá to jako skvělý systém. Musíte si pamatovat méně hesel a snadno se přihlásit a ověřit své údaje pomocí účtu, který již máte. Tlačítka SSO jsou ještě užitečnější v mobilních zařízeních, kde vytváření nových hesel, kde může být autorizace nového účtu časově náročná.

Co je za problém?

Nejnovější rámec OAuth - OAuth 2.0 - byl vydán v říjnu 2012 a nebyl navržen pro mobilní aplikace. To vedlo k tomu, že mnoho vývojářů aplikací muselo implementovat OAuth samostatně, bez pokynů, jak by se mělo provádět bezpečně.

Zatímco OAuth na webech používá přímou komunikaci mezi servery třetích stran a poskytovatelů SSO, mobilní aplikace tuto metodu přímé komunikace nepoužívají. Mobilní aplikace místo toho komunikují prostřednictvím zařízení.

Při použití protokolu OAuth na webu Facebook doručí přístupový token a ověřovací informace přímo na servery třetích stran. Tyto informace lze poté ověřit před přihlášením uživatele nebo přístupem k jakýmkoli osobním údajům.

Vědci zjistili, že velké procento aplikací pro Android toto ověření chybělo. Místo toho servery Facebooku odesílají přístupový token do aplikace Facebook. Token přístupu by pak byl doručen do aplikace třetí strany. Aplikace třetích stran by vám poté umožnila přihlášení bez ověření na serverech Facebooku, zda byly informace o uživateli legitimní.

Útočník se mohl přihlásit jako sám a vyvolat požadavek na token OAuth. Jakmile Facebook autorizoval token, mohli se vložit mezi servery Facebooku a aplikaci Facebook. Útočník by pak mohl změnit uživatelské jméno na tokenu na oběť. Uživatelské jméno je obvykle také veřejně dostupná informace, takže existuje jen velmi málo překážek pro útočníka. Po změně uživatelského jména - ale povolení stále uděleno - se aplikace třetí strany přihlásí pod účtem oběti.

Tento typ vykořisťování je znám jako útok typu „muž ve středu“ (MitM). Co je to útok na člověka uprostřed? Bezpečnostní žargon vysvětlil, co je to útok člověka uprostřed? Bezpečnostní žargon vysvětlil Pokud jste slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, jedná se o článek pro vás. . To je místo, kde je útočník schopen zachytit a změnit data, zatímco obě strany se domnívají, že komunikují přímo mezi sebou.

Jak to ovlivní vás?

Pokud je útočník schopen oklamat aplikaci, aby věřil, že je to vy, hacker získá přístup ke všem informacím, které v této službě uložíte. Vědci vytvořili níže uvedenou tabulku, ve které jsou uvedeny některé informace, které můžete vystavit v různých typech aplikací.

Některé typy informací jsou méně škodlivé než jiné. Je méně pravděpodobné, že se obáváte, že odhalíte svou historii čtení zpráv, než všechny vaše cestovní plány nebo schopnost odesílat a přijímat soukromé zprávy na vaše jméno. Je to vytrvalé připomenutí typů informací, které pravidelně svěřujeme třetím stranám - a důsledků jejich zneužití.

Pokud se bojíte?

Vědci zjistili, že 41,21% ze 600 nejoblíbenějších aplikací podporujících SSO v Obchodě Google Play bylo zranitelných vůči útoku MitM. To by mohlo potenciálně nechat miliardy uživatelů po celém světě vystavit se tomuto typu útoku. Tým provedl svůj výzkum na Androidu, ale věří, že jej lze replikovat iOS. To by potenciálně nechalo miliony aplikací na dvou největších mobilních operačních systémech zranitelných vůči tomuto útoku.

Image Credit: Bloomicon přes Shutterstock

V době psaní této zprávy neexistovala žádná oficiální prohlášení internetové pracovní skupiny (IETF), která vyvinula specifikace OAuth 2.0. Vědci odmítli pojmenovat postižené aplikace, proto byste měli při používání SSO v mobilních aplikacích postupovat opatrně.

Je zde stříbrná podšívka. Výzkumníci již upozornili společnost Google a Facebook a další poskytovatele SSO na zneužití. Kromě toho pracují na řešení problému společně s vývojáři postižených třetích stran.

Co můžete udělat teď?

Zatímco oprava může být na cestě, existují mnoho ohrožených aplikací, které mají být aktualizovány. To bude pravděpodobně nějakou dobu trvat, takže by mohlo být vhodné mezitím nepoužívat SSO. Místo toho, když se zaregistrujete pro nový účet, ujistěte se, že vytvoříte silné heslo. 6 tipů pro vytvoření nerozbitného hesla, které si můžete pamatovat 6 tipů pro vytvoření nerozbitného hesla, které si můžete pamatovat Pokud vaše hesla nejsou jedinečná a nerozbitná, můžete také otevřete přední dveře a pozvěte lupiče na oběd. nezapomenete. Buď to, nebo použijte správce hesel Jak si správci hesel udržují vaše hesla v bezpečí Jak si manažeři hesel udržují vaše hesla v bezpečí Hesla, která je těžké najít, je také obtížné zapamatovat. Chcete být v bezpečí? Potřebujete správce hesel. Tady je, jak fungují a jak vás udržují v bezpečí. udělat pro vás těžké zvedání.

Je dobrým zvykem provádět vlastní bezpečnostní kontrolu. Chraňte se roční kontrolou bezpečnosti a ochrany osobních údajů Chraňte se roční kontrolou bezpečnosti a ochrany osobních údajů Jsme téměř dva měsíce do nového roku, ale stále je čas na pozitivní řešení. Zapomeňte na pití méně kofeinu - mluvíme o tom, jak podniknout kroky k zabezpečení online bezpečnosti a soukromí. čas od času. Google vám dokonce odmění v cloudovém úložišti Tato 5minutová kontrola Google vám dá 2 GB volného místa Tato pětiminutová kontrola Google vám dá 2 GB volného místa Pokud se vám během této bezpečnostní kontroly věnuje pět minut, Google vám na Disku Google poskytne 2 GB volného místa. za provedení jejich kontroly. Je to ideální čas, abyste zjistili, které aplikace jste udělili oprávnění k používání sociálního přihlášení? Proveďte tyto kroky k zabezpečení svých účtů pomocí sociálního přihlášení? Proveďte tyto kroky k zabezpečení svých účtů Pokud používáte sociální přihlašovací službu (jako je Google nebo Facebook), možná si myslíte, že je vše v bezpečí. Není tomu tak - je čas se podívat na slabiny sociálních přihlášení. na účtech SSO. To je důležité zejména na webu, jako je Facebook Jak spravovat vaše přihlašovací údaje pro Facebook od třetích stran [Týdenní tipy na Facebooku] Jak spravovat přihlašovací údaje pro Facebook od třetích stran [Týdenní tipy pro Facebook] Kolikrát jste povolili webům třetích stran mít přístup k vašemu účtu na Facebooku? Takto můžete spravovat svá nastavení. , která ukládá obrovské množství velmi osobních údajů Jak hromadně stahovat vaše data na Facebooku a jaké informace archiv obsahuje, jak hromadně stahovat data na Facebook a jaké informace obsahuje archivy Na základě rozhodnutí evropského soudu Facebook nedávno inovoval funkci, která umožňuje uživatelům stáhnout archiv svých osobních údajů. Možnost archivace je k dispozici od roku 2010 a zahrnuje fotografie, videa a zprávy,… .

Myslíte si, že je čas odejít od jednotného přihlášení? Jaký je podle vás nejlepší způsob přihlášení? Byl jste touto exploitací zasažen? Dejte nám vědět v komentářích níže!

Obrazové kredity: Marc Bruxelle / Shutterstock




Lknehc ([email protected])
10.03.24 06:11
buy lipitor without prescription <a href="https://lipiws.top/">lipitor online</a> buy lipitor online
Jak používat aplikaci Kindle pro čtení článků offline
iPhone a iPad
Jak odstranit aplikace z vašeho iPhonu nebo iPadu, abyste ušetřili místo
iPhone a iPad
Nejužitečnější tipy a triky pro inteligentní klávesnici pro iPad Pro
iPhone a iPad
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.