реклама
На тазгодишната конференция за сигурност Black Hat Europe двама изследователи от китайския Хонконгски университет представи изследване, което показа експлоатация, засягаща приложенията за Android което потенциално може да остави над един милиард инсталирани приложения, уязвими за атака.
Експлоатацията се опира на атака на човек в средата на мобилното внедряване на разрешителния стандарт OAuth 2.0. Това звучи много технически, но какво всъщност означава и сигурни ли са вашите данни?
Какво е OAuth?
OAuth е отворен стандарт, използван от много уебсайтове и приложения 3 Основни условия за сигурност, които трябва да разберетеОбъркан от криптиране? Озадачен от OAuth или вкаменен от Ransomware? Нека да разгледаме някои от най-често използваните термини за сигурност и какво точно означават. Прочетете още за да ви позволи да влезете в приложение или уебсайт на трета страна, като използвате акаунт от един от многото доставчици на OAuth. Някои от най-често срещаните и добре познати примери са Google, Facebook и Twitter.
Бутонът за единичен вход (SSO) ви позволява да предоставите достъп до информацията за вашия акаунт. Когато щракнете върху бутона Facebook, приложението или уебсайтът на трети страни търси маркер за достъп, предоставяйки му достъп до вашата информация във Facebook.
Ако този маркер не бъде намерен, ще бъдете помолени да разрешите достъп на трети страни до вашия акаунт във Facebook. След като упълномощите това, Facebook получава съобщение от третата страна с искане за означение за достъп.
Facebook отговаря с означение, предоставяйки на трети страни достъп до информацията, която сте посочили. Например предоставяте достъп до основната си информация за потребителския профил и списъка с приятели, но не и до снимките си. Третата страна получава маркера и ви позволява да влезете с вашите идентификационни данни във Facebook. Тогава, докато маркерът не изтече, той ще има достъп до информацията, която сте оторизирали.
Това изглежда като страхотна система. Трябва да запомните по-малко пароли и да стигнете до лесно да влезете и да потвърдите данните си с акаунт, който вече имате. Бутоните SSO са още по-полезни за мобилни устройства, където създаването на нови пароли, където оторизирането на нов акаунт може да отнеме много време.
Какъв е проблема?
Най-новата рамка на OAuth - OAuth 2.0 - беше публикувана през октомври 2012 г. и не беше предназначена за мобилни приложения. Това доведе до това, че много разработчици на приложения трябва да прилагат OAuth самостоятелно, без указания как трябва да се направи безопасно.
Докато OAuth на уебсайтове използва директна комуникация между сървърите на трета страна и доставчика на SSO, мобилните приложения не използват този метод за директна комуникация. Вместо това мобилните приложения комуникират помежду си чрез вашето устройство.
Когато използва OAuth на уебсайт, Facebook доставя маркера за достъп и информацията за удостоверяване директно на сървърите на трети страни. След това тази информация може да бъде валидирана, преди да влезете в потребителя или да получите достъп до някакви лични данни.
Изследователите откриха, че голям процент от приложенията за Android са пропуснали това валидиране. Вместо това сървърите на Facebook изпращат маркера за достъп до приложението Facebook. Токенът за достъп ще бъде доставен на приложението на трета страна. След това приложението на трета страна ще ви позволи да влезете, без да проверявате със сървърите на Facebook дали информацията за потребителя е легитимна.
Нападателят може да влезе като себе си, задействайки заявката за означение на OAuth. След като Facebook разреши маркера, те могат да се вмъкнат между сървърите на Facebook и приложението Facebook. След това нападателят може да промени идентификационния номер на потребителя на маркера на жертвата. Потребителското име обикновено също е обществено достъпна информация, така че има много малко бариери за нападателя. След като потребителският идентификатор бъде променен - но разрешението все още е предоставено - приложението на трета страна ще влезе в профила на жертвата.
Този тип експлоатация е известна като атака "човек в средата" (MitM) Какво е атака на човек в средата? Обяснен жаргон за сигурностАко сте чували за атаки "човек в средата", но не сте съвсем сигурни какво означава това, това е статията за вас. Прочетете още . Това е мястото, където нападателят е в състояние да прихваща и променя данни, докато двете страни вярват, че общуват директно помежду си.
Как това ви засяга?
Ако нападателят успее да заблуди приложението да вярва, че той е вие, тогава хакерът получава достъп до цялата информация, която съхранявате в тази услуга. Изследователите създадоха таблицата, показана по-долу, в която е изброена част от информацията, която можете да изложите на различни видове приложения.
Някои видове информация са по-малко вредни от други. По-малко вероятно е да се притеснявате да не изложите историята си за четене на новини от всичките си планове за пътуване или възможността да изпращате и получавате лични съобщения от ваше име. Това е отрезвяващо напомняне на видовете информация, които редовно поверяваме на трети страни - и последствията от злоупотребата с нея.
Трябва ли да се притеснявате?
Изследователите откриха, че 41,21% от 600-те най-популярни приложения, които поддържат SSO в Google Play Store, са уязвими към атаката на MitM. Това потенциално би могло да остави милиарди потребители по целия свят, изложени на този тип атака. Екипът проведе своите изследвания на Android, но те вярват, че може да се възпроизведе на iOS. Това потенциално би оставило милиони приложения в двете най-големи мобилни операционни системи, уязвими от тази атака.
Към момента на писането не е имало официални изявления от интернет инженерната работна група (IETF), която е разработила спецификациите на OAuth 2.0. Изследователите отказаха да назоват засегнатите приложения, така че трябва да проявите повишено внимание, когато използвате SSO в мобилни приложения.
Има сребърна подплата. Изследователите вече са алармирали Google и Facebook и други доставчици на SSO за експлоатацията. На всичкото отгоре, те работят заедно със засегнатите трети страни, за да отстранят проблема.
Какво можете да направите сега?
Въпреки че поправка може да бъде на път, има много на засегнатите приложения, които трябва да бъдат актуализирани. Това вероятно ще отнеме известно време, така че може да си струва да не използвате SSO междувременно. Вместо това, когато се регистрирате за нов акаунт, уверете се, че сте създайте силна парола 6 съвета за създаване на нечуплива парола, която можете да запомнитеАко вашите пароли не са уникални и нечупливи, може да отворите входната врата и да поканите разбойниците за обяд. Прочетете още няма да забравиш Или това, или използвайте мениджър на пароли Как мениджърите на пароли пазят вашите паролиПаролите, които е трудно да се счупят, също трудно се запомнят. Искате да сте в безопасност? Имате нужда от мениджър на пароли. Ето как работят и как те пазят. Прочетете още да направя тежкото повдигане вместо вас.
Добра практика е да провеждайте собствена проверка за сигурност Защитете се с ежегодна проверка за сигурност и поверителностНие сме почти два месеца в новата година, но все още има време за положителна резолюция. Забравете да пиете по-малко кофеин - говорим за предприемане на стъпки за запазване на онлайн сигурността и поверителността. Прочетете още от време на време. Google дори ще възнаграждаваме ви в облачно съхранение Тази 5-минутна проверка на Google ще ви предостави 2 GB свободно пространствоАко ви отнеме пет минути, за да преминете през тази проверка за сигурност, Google ще ви предостави 2 GB безплатно място в Google Drive. Прочетете още за извършване на проверката им. Това е идеално време за проверете на кои приложения сте дали разрешение Използвате социално влизане? Направете тези стъпки, за да защитите вашите акаунтиАко използвате услуга за вход в социални мрежи (като Google или Facebook), може би смятате, че всичко е защитено. Не е така - време е да разгледаме слабостите на социалните данни. Прочетете още на вашите SSO акаунти. Това е особено важно в сайт като Facebook Как да управлявате своите входни данни във Facebook на трети страни [Седмични съвети във Facebook]Колко пъти сте разрешили на сайт на трета страна да има достъп до вашия акаунт във Facebook? Ето как можете да управлявате настройките си. Прочетете още , която съхранява a огромно количество много лична информация Как да изтеглите цялата си история във FacebookПрез годините Facebook събра много данни за вас. В тази статия ние обясняваме как да изтеглите историята си във Facebook и какво вероятно ще откриете дебнеш вътре. Прочетете още .
Мислите ли, че е време да се отдалечите от Single Sign On? Кой според вас е най-добрият метод за вход? Били ли сте засегнати от този подвиг? Уведомете ни в коментарите по-долу!
Образни кредити: Марк Брюксел / Shutterstock
Джеймс е MakeUseOf's Guides & Hardware News Editor и писател на свободна практика страстно да направи технологията достъпна и безопасна за всички. Наред с технологиите се интересуват и от здраве, пътувания, музика и психично здраве. Завършва машинно инженерство от Университета в Сури. Може да се намери и писане за хронични заболявания в PoTS Jots.
