Oglas
Na ovogodišnjoj konferenciji o sigurnosti Hat Europe, dva istraživača sa kineskog sveučilišta u Hong Kongu predstavio je istraživanje koje je pokazalo iskorištavanje koje utječe na Androidove aplikacije što bi moglo ostaviti preko milijardu instaliranih aplikacija ranjivim za napad.
Eksploatacija se temelji na napadu čovjeka u sredini mobilne implementacije OAuth 2.0 autorizacijskog standarda. To zvuči vrlo tehnički, ali što to zapravo znači i jesu li vaši podaci sigurni?
Što je OAuth?
OAuth je otvoreni standard koji koriste mnoge web stranice i aplikacije 3 suštinska uvjeta sigurnosti koja morate razumjetiZbunjeni šifriranjem? Zbunjen od strane OAutta ili okamenjen od strane Ransomwarea? Pogledajmo neke od najčešće korištenih sigurnosnih izraza i točno ono što znače. Čitaj više kako bi vam se omogućilo prijaviti u aplikaciju ili web mjesto treće strane pomoću računa jednog od mnogih pružatelja usluga OAuth. Neki od najčešćih i dobro poznatih primjera su Google, Facebook i Twitter.
Gumb Jedinstvena prijava (SSO) omogućava vam pristup informacijama o vašem računu. Kada kliknete Facebook gumb, aplikacija ili web stranica treće strane traži pristupni žeton i omogućava joj pristup vašim podacima na Facebooku.
Ako ovaj žeton nije pronađen, od vas će se tražiti da dopustite trećoj strani pristup vašem Facebook računu. Nakon što ste to odobrili, Facebook od treće strane prima poruku koja traži pristupni žeton.
Facebook odgovara tokenom, omogućavajući trećoj strani pristup informacijama koje ste naveli. Na primjer, odobrite pristup osnovnim podacima o profilu i popisu prijatelja, ali ne i vašim fotografijama. Treća strana prima token i omogućava vam da se prijavite sa svojim Facebook vjerodajnicama. Zatim, sve dok token ne istekne, imat će pristup informacijama koje ste ovlastili.
Čini se da je to sjajan sustav. Morate se sjetiti manje lozinki i lako se prijaviti i potvrditi svoje podatke pomoću računa koji već imate. SSO gumbi su još korisniji na mobilnim uređajima gdje se stvaraju nove lozinke, za autorizaciju novog računa može biti potrebno puno vremena.
U čemu je problem?
Najnoviji OAuth okvir - OAuth 2.0 - objavljen je u listopadu 2012., i nije bio dizajniran za mobilne aplikacije. To je dovelo do toga da su mnogi programeri aplikacija sami morali implementirati OAuth, bez uputa o tome kako to treba učiniti na siguran način.
Dok OAuth na web stranicama koristi izravnu komunikaciju između poslužitelja treće strane i pružatelja usluga SSO-a, mobilne aplikacije ne koriste ovu metodu izravne komunikacije. Umjesto toga, mobilne aplikacije međusobno komuniciraju putem svog uređaja.
Kada koristite OAuth na web mjestu, Facebook dostavlja pristupne tokene i podatke za provjeru autentičnosti izravno na treće poslužitelje. Te se informacije tada mogu potvrditi prije prijave korisnika ili pristupanja bilo kojim osobnim podacima.
Istraživači su otkrili da velikom postotku Androidovih aplikacija nedostaje ta provjera. Umjesto toga, Facebookovi poslužitelji šalju pristupni token Facebook aplikaciji. Oznaka pristupa tada će se isporučiti aplikaciji treće strane. Aplikacija treće strane tada bi vam omogućila prijavu, bez provjere na Facebookovim poslužiteljima da su korisnički podaci legitimni.
Napadač se može prijaviti kao sami, aktivirajući zahtjev za token OAuth. Jednom kada Facebook odobri token, mogli bi se umetnuti između Facebookovih poslužitelja i Facebook aplikacije. Napadač bi tada mogao promijeniti korisnički ID na žetonu prema žrtvi. Korisničko ime je obično javno dostupno, tako da postoji vrlo malo prepreka za napadača. Nakon što se promijeni korisnički ID - ali odobrenje je i dalje dodijeljeno - aplikacija treće strane prijavit će se na račun žrtve.
Ova vrsta iskorištavanja poznata je kao napad čovjeka-u sredini (MitM) Što je napad Čovjeka u sredini? Objasnio sigurnosni žargonAko ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. Čitaj više . Ovdje napadač može presresti i promijeniti podatke, dok dvije strane vjeruju da međusobno komuniciraju izravno.
Kako to utječe na vas?
Ako napadač uspije prevariti neku aplikaciju u uvjerenje da je on vaš, tada haker dobija pristup svim informacijama koje pohranjujete u toj usluzi. Istraživači su stvorili dolje prikazanu tablicu u kojoj su navedene neke informacije koje možete izložiti o različitim vrstama aplikacija.
Neke su vrste informacija manje štetne od drugih. Manje je vjerojatno da ćete se zabrinuti zbog otkrivanja povijesti čitanja vijesti od svih vaših planova putovanja ili mogućnosti slanja i primanja privatnih poruka na vaše ime. To je otrežnjujući podsjetnik vrsta informacija koje redovito povjeravamo trećim stranama - i posljedice njezine zlouporabe.
Trebate li brinuti?
Istraživači su otkrili da je 41,21% od 600 najpopularnijih aplikacija koje podržavaju SSO u Google Play Storeu ranjivo na napad MitM. To bi potencijalno moglo ostaviti milijune korisnika širom svijeta izloženih ovoj vrsti napada. Tim je proveo svoje istraživanje na Androidu, ali smatraju da se to može ponoviti na iOS-u. To bi potencijalno ostavilo milijune aplikacija na dva najveća mobilna operativna sustava ranjivim za ovaj napad.
U vrijeme pisanja tekstova nije bilo službenih izjava internetske inženjerske radne skupine (IETF) koja je razvila OAuth 2.0 specifikacije. Istraživači su odbili dati ime pogođenim aplikacijama, tako da biste trebali biti oprezni pri korištenju SSO-a na mobilnim aplikacijama.
Ima srebrnu oblogu. Istraživači su već upozorili Google i Facebook te ostale pružatelje usluga SSO-a na iskorištavanje. Povrh toga, oni rade zajedno s pogođenim razvojnim programerima da bi riješili problem.
Što sada možete učiniti?
Iako je popravljanje možda na putu, postoje puno aplikacija na koje se to odnosi treba ažurirati. To će vjerojatno potrajati neko vrijeme, pa bi moglo biti vrijedno ne koristiti SSO u međuvremenu. Umjesto toga, kada se registrirate za novi račun, provjerite stvorite jaku lozinku 6 savjeta za stvaranje neraskidive lozinke koje se možete sjetitiAko vaše lozinke nisu jedinstvene i neraskidive, možete otvoriti ulazna vrata i pozvati pljačkaše na ručak. Čitaj više nećeš zaboraviti Ili to ili koristite upravitelj lozinki Kako menadžeri lozinki čuvaju vaše lozinkeTeško je upamtiti i lozinke koje je teško probiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. Čitaj više obaviti teška dizanja za vas.
To je dobra praksa izvršite vlastiti sigurnosni pregled Zaštitite se godišnjom provjerom sigurnosti i privatnostiSkoro smo dva mjeseca u novoj godini, ali još uvijek ima vremena za donošenje pozitivne odluke. Zaboravite piti manje kofeina - govorimo o poduzimanju koraka za zaštitu mrežne sigurnosti i privatnosti. Čitaj više s vremena na vrijeme. Google će čak nagraditi vas u pohrani u oblaku Ova 5-minutna Google provjera dat će vam 2 GB slobodnog prostoraAko vam treba pet minuta za prolazak kroz ovaj sigurnosni pregled, Google će vam dati 2 GB slobodnog prostora na Google disku. Čitaj više za vršenje njihove provjere. Ovo je idealno vrijeme za pogledajte na koje ste aplikacije dali dozvolu Koristite društvenu prijavu? Poduzmite ove korake za osiguranje računaAko koristite uslugu za prijavu na društvene mreže (poput Googlea ili Facebooka), možda mislite da je sve sigurno. Nije tako - vrijeme je da pogledate slabosti društvenih podataka. Čitaj više na vašim SSO računima. Ovo je posebno je važno na web mjestu poput Facebooka Kako upravljati svojim prijavama na Facebooku treće strane [Tjedni Facebook savjeti]Koliko ste puta web stranici trećih strana dozvolili pristup vašem Facebook računu? Evo kako možete upravljati svojim postavkama. Čitaj više , koja pohranjuje ogromna količina vrlo osobnih podataka Kako preuzeti cijelu svoju Facebook povijestTijekom godina Facebook je prikupio puno podataka o vama. U ovom ćemo članku objasniti kako preuzeti svoju povijest na Facebooku i u čemu ćete vjerojatno vrebati. Čitaj više .
Mislite li da je vrijeme da se udaljite od Single Sign On-a? Što mislite, što je najbolja metoda prijave? Jeste li bili pogođeni ovim eksploatacijom? Javite nam se u komentarima u nastavku!
Slikovni krediti: Marc Bruxelle / Shutterstock
James je MakeUseOf's Vodič za kupovinu i hardver vijesti i slobodni pisac strastveni u tome da tehnologiju učini dostupnom i sigurnom za sve. Pored tehnologije, također se zanimaju za zdravlje, putovanja, glazbu i mentalno zdravlje. Diplomirao strojarstvo na Sveučilištu u Surreyu. Može se naći i pisanje o kroničnoj bolesti na PoTS Jots.
