Jak jsou miliony aplikací zranitelné pro jediný bezpečnostní hack

reklama

Na letošní bezpečnostní konferenci Black Hat Europe dva vědci z čínské Hongkongské univerzity představil výzkum, který ukázal zneužití ovlivňující aplikace pro Android které by potenciálně mohly nechat více než miliardu nainstalovaných aplikací náchylných k útoku.

Využití se spoléhá na útok typu man-in-the-middle mobilní implementace autorizačního standardu OAuth 2.0. Zní to velmi technicky, ale co to vlastně znamená a jsou vaše data v bezpečí?

Co je OAuth?

OAuth je otevřený standard používaný mnoha weby a aplikacemi 3 Základní bezpečnostní podmínky, kterým musíte porozumětZmateni šifrováním? Nepochopení OAuth nebo zkamenělý Ransomware? Podívejme se na některé z nejčastěji používaných bezpečnostních termínů a přesně na to, co znamenají. Přečtěte si více abyste se mohli přihlásit k aplikaci nebo webu třetí strany pomocí účtu jednoho z mnoha poskytovatelů OAuth. Mezi nejčastější a nejznámější příklady patří Google, Facebook a Twitter.

Tlačítko Single Sign On (SSO) vám umožňuje udělit přístup k informacím o vašem účtu. Když kliknete na tlačítko Facebook, aplikace nebo web třetí strany vyhledá přístupový token a udělí mu přístup k vašim informacím na Facebooku.

Pokud tento token nenaleznete, budete požádáni o povolení přístupu třetí strany k vašemu účtu Facebook. Jakmile to udělíte, Facebook obdrží zprávu od třetí strany s žádostí o přístupový token.

Facebook odpoví tokenem a udělí třetím stranám přístup k zadaným informacím. Například udělujete přístup k vašim základním informacím o profilu a seznamu přátel, ale ne k vašim fotografiím. Třetí strana obdrží token a umožní vám přihlásit se pomocí svých přihlašovacích údajů na Facebooku. Poté, dokud token nevyprší, bude mít přístup k informacím, které jste autorizovali.

Vypadá to jako skvělý systém. Musíte si pamatovat méně hesel a snadno se přihlásit a ověřit své údaje pomocí účtu, který již máte. Tlačítka SSO jsou ještě užitečnější v mobilních zařízeních, kde vytváření nových hesel, kde může být autorizace nového účtu časově náročná.

Co je za problém?

Nejnovější rámec OAuth - OAuth 2.0 - byl vydán v říjnu 2012 a nebyl navržen pro mobilní aplikace. To vedlo k tomu, že mnoho vývojářů aplikací muselo implementovat OAuth samostatně, bez pokynů, jak by se mělo provádět bezpečně.

Zatímco OAuth na webech používá přímou komunikaci mezi servery třetích stran a poskytovatelů SSO, mobilní aplikace tuto metodu přímé komunikace nepoužívají. Mobilní aplikace místo toho komunikují prostřednictvím zařízení.

Při použití protokolu OAuth na webu Facebook doručí přístupový token a ověřovací informace přímo na servery třetích stran. Tyto informace lze poté ověřit před přihlášením uživatele nebo přístupem k jakýmkoli osobním údajům.

Vědci zjistili, že velké procento aplikací pro Android toto ověření chybělo. Místo toho servery Facebooku odesílají přístupový token do aplikace Facebook. Přístupový token by pak byl doručen do aplikace třetí strany. Aplikace třetí strany by vám poté umožnila přihlášení, aniž by na serverech Facebook ověřovala, že informace o uživateli byly legitimní.

Útočník se mohl přihlásit jako sám a vyvolat požadavek tokenu OAuth. Jakmile Facebook autorizoval token, mohli se vložit mezi servery Facebooku a aplikaci Facebook. Útočník by pak mohl změnit uživatelské jméno na tokenu na oběť. Uživatelské jméno je obvykle také veřejně dostupná informace, takže existuje jen velmi málo překážek pro útočníka. Po změně uživatelského jména - ale povolení stále uděleno - se aplikace třetí strany přihlásí pod účtem oběti.

Tento typ vykořisťování je známý jako útok uprostřed (MitM) Co je to Man-in-the-Middle Attack? Bezpečnostní žargon vysvětlilPokud jste již slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, toto je článek pro vás. Přečtěte si více . V tomto případě je útočník schopen zachytit a změnit data, zatímco obě strany se domnívají, že mezi sebou komunikují přímo.

Jak to ovlivní vás?

Pokud je útočník schopen oklamat aplikaci, aby věřil, že je to vy, hacker získá přístup ke všem informacím, které v této službě uložíte. Vědci vytvořili níže uvedenou tabulku, ve které jsou uvedeny některé informace, které můžete vystavit v různých typech aplikací.

Některé typy informací jsou méně škodlivé než jiné. Je méně pravděpodobné, že se obáváte, že odhalíte svou historii čtení zpráv, než všechny vaše cestovní plány nebo schopnost odesílat a přijímat soukromé zprávy na vaše jméno. Je to vytrvalé připomenutí typů informací, které pravidelně svěřujeme třetím stranám - a důsledků jejich zneužití.

Měli byste se bát?

Vědci zjistili, že 41,21% ze 600 nejoblíbenějších aplikací podporujících SSO v Obchodě Google Play bylo zranitelných vůči útoku MitM. To by mohlo potenciálně nechat miliardy uživatelů po celém světě vystavit se tomuto typu útoku. Tým provedl svůj výzkum na Androidu, ale věří, že jej lze replikovat iOS. To by potenciálně nechalo miliony aplikací na dvou největších mobilních operačních systémech zranitelných vůči tomuto útoku.

V době psaní této zprávy neexistovala žádná oficiální prohlášení internetové pracovní skupiny (IETF), která vyvinula specifikace OAuth 2.0. Vědci odmítli pojmenovat postižené aplikace, proto byste měli při používání SSO v mobilních aplikacích postupovat opatrně.

Je zde stříbrná podšívka. Vědci již upozornili společnost Google a Facebook a další poskytovatele SSO na zneužití. Kromě toho pracují na řešení problému společně s vývojáři postižených třetích stran.

Co můžete udělat teď?

Zatímco oprava může být na cestě, existují mnoho ohrožených aplikací, které mají být aktualizovány. To bude pravděpodobně nějakou dobu trvat, takže by mohlo být užitečné mezitím nepoužívat SSO. Místo toho se při registraci nového účtu ujistěte, že jste vytvořit silné heslo 6 tipů pro vytvoření nerozbitného hesla, které si můžete pamatovatPokud vaše hesla nejsou jedinečná a nerozbitná, můžete také otevřít přední dveře a pozvat lupiče na oběd. Přečtěte si více nezapomenete. Buď to nebo použít správce hesel Jak správci hesel udržují vaše hesla v bezpečíHesla, která se těžko lámou, je také obtížně zapamatovatelná. Chcete být v bezpečí? Potřebujete správce hesel. Tady je, jak fungují a jak vás udržují v bezpečí. Přečtěte si více udělat pro vás těžké zvedání.

Je to dobrá praxe provést vlastní bezpečnostní kontrolu Chraňte se roční kontrolou zabezpečení a ochrany osobních údajůJsme téměř dva měsíce do nového roku, ale stále je čas na pozitivní rozhodnutí. Zapomeňte na pití méně kofeinu - mluvíme o tom, jak podniknout kroky k zabezpečení online bezpečnosti a soukromí. Přečtěte si více čas od času. Google bude dokonce odměním vás v cloudovém úložišti Tato 5minutová kontrola Google vám poskytne 2 GB volného místaPokud této kontrole zabezpečení věnujete pět minut, Google vám na Disku Google poskytne 2 GB volného místa. Přečtěte si více za provedení jejich kontroly. To je ideální čas podívejte se, ke kterým aplikacím jste udělili povolení Používáte sociální přihlášení? Proveďte tyto kroky k zabezpečení svých účtůPokud používáte sociální přihlašovací službu (například Google nebo Facebook), možná si myslíte, že je vše v bezpečí. Není tomu tak - je čas se podívat na slabiny sociálních přihlášení. Přečtěte si více na účtech SSO. Tohle je zvláště důležité na webu, jako je Facebook Jak spravovat vaše přihlašovací údaje pro Facebook od třetích stran [Týdenní tipy na Facebooku]Kolikrát jste povolili webům třetích stran přístup k vašemu účtu Facebook? Takto můžete spravovat svá nastavení. Přečtěte si více , který ukládá obrovské množství velmi osobních údajů Jak stáhnout celou historii FacebookuV průběhu let shromáždil Facebook o vás spoustu údajů. V tomto článku vám vysvětlíme, jak stáhnout svou historii na Facebooku a v čem pravděpodobně najdete číhající uvnitř. Přečtěte si více .

Myslíte si, že je čas odejít od jednotného přihlášení? Jaký je podle vás nejlepší způsob přihlášení? Byl jste touto exploitací zasažen? Dejte nám vědět v komentářích níže!

Obrazové kredity: Marc Bruxelle / Shutterstock