数百万个应用程序如何容易受到一次安全黑客攻击
在今年的黑帽欧洲安全会议上,来自香港中国大学的两位研究人员展示了一项研究,显示了影响Android应用程序的漏洞,这可能会导致超过十亿个安装的应用程序易受攻击。
该攻击依赖于oauth2.0授权标准的移动实现的中间人攻击。这听起来很技术,但它实际上意味着什么,你的数据安全吗?
什么是oauth公司(oauth)?
OAuth是许多网站和应用程序使用的开放标准,允许您使用OAuth提供商之一的帐户登录到第三方应用程序或网站。一些最常见和最著名的例子是Google、Facebook和Twitter。
单点登录(SSO)按钮允许您授予对帐户信息的访问权限。当您单击Facebook按钮时,第三方应用程序或网站将查找访问令牌,授予其访问您的Facebook信息的权限。
如果找不到此令牌,您将被要求允许第三方访问您的Facebook帐户。一旦你授权了,Facebook就会收到一条来自第三方的请求访问令牌的消息。
Facebook用一个令牌来响应,授予第三方访问您指定信息的权限。例如,您允许访问您的基本个人资料信息和朋友列表,但不允许访问您的照片。第三方接收令牌并允许您使用Facebook凭据登录。然后,只要令牌没有过期,它就可以访问您授权的信息。
这似乎是一个伟大的系统。你必须记住更少的密码,并且可以很容易地登录和验证你的信息与一个帐户,你已经有了。SSO按钮在移动设备上更有用,因为在移动设备上创建新密码、授权新帐户可能很耗时。
有什么问题吗?
最新的OAuth框架——OAuth2.0——于2012年10月发布,并不是为移动应用而设计的。这导致许多应用程序开发人员不得不自己实现OAuth,而没有关于如何安全地实现OAuth的指导。
虽然网站上的OAuth使用第三方和SSO提供商的服务器之间的直接通信,但移动应用程序不使用这种直接通信方法。相反,移动应用程序通过你的设备相互通信。
在网站上使用OAuth时,Facebook将访问令牌和身份验证信息直接传递给第三方服务器。然后可以在用户登录或访问任何个人数据之前验证此信息。
研究人员发现,很大一部分Android应用程序缺少这种验证。相反,Facebook的服务器将访问令牌发送到Facebook应用程序。然后,访问令牌将被传递到第三方应用程序。然后,第三方应用程序将允许您登录,而无需向Facebook服务器验证用户信息是否合法。
攻击者可以自己登录,触发OAuth令牌请求。一旦Facebook授权了这个代币,他们就可以将自己**Facebook服务器和Facebook应用程序之间。然后,攻击者可以将令牌上的用户id更改为受害者的id。用户名通常也是公开的信息,因此攻击者几乎没有障碍。一旦用户ID被更改——但授权仍然被授予——第三方应用程序将在受害者的帐户下登录。
这种类型的攻击称为中间人(MitM)攻击。这就是攻击者能够截获和更改数据的地方,而双方都认为他们是在直接相互通信。
这对你有什么影响?
如果攻击者能够欺骗应用程序,使其相信他就是你,那么黑客就可以访问你存储在该服务中的所有信息。研究人员创建了下表,其中列出了您可能在不同类型的应用程序上公开的一些信息。
某些类型的信息的破坏性比其他类型的小。比起你所有的旅行计划,你不太可能担心暴露你的新闻阅读记录,或者担心你能以你的名义收发私人信息。这是一个清醒的提醒,提醒我们经常委托给第三方的信息类型——以及滥用信息的后果。
你应该担心吗?
研究人员发现,在googleplay商店上支持SSO的600个最受欢迎的应用中,有41.21%容易受到MitM攻击。这可能会让全球数十亿用户暴露在这类攻击之下。该团队在Android上进行了研究,但他们相信它可以在iOS上复制。这可能会使这两个最大的移动操作系统上的数百万应用程序易受攻击。
在撰写本文时,还没有开发OAuth2.0规范的internet工程任务组(IETF)的正式声明。研究人员拒绝透露受影响的应用程序的名称,因此在移动应用程序上使用SSO时应谨慎。
有一线希望。研究人员已经向谷歌、Facebook和其他SSO提供商发出了该漏洞的警报。除此之外,他们还与受影响的第三方开发人员合作解决问题。
你现在能做什么?
虽然修复可能正在进行中,但仍有许多受影响的应用程序需要更新。这可能需要一些时间,因此暂时不使用SSO是值得的。相反,当你注册一个新帐户时,确保你创建了一个不会忘记的强密码。或者使用密码管理器为你做繁重的工作。
经常进行自己的安全检查是个好习惯。谷歌甚至会奖励你在云存储中执行他们的检查。这是一个理想的时间来检查哪些应用程序,你已经给你的SSO帐户的权限。这在Facebook这样的网站上尤其重要,因为它存储了大量非常私人的信息。
你认为是时候摆脱单一登录了吗?你认为最好的登录方式是什么?您是否受到此漏洞的影响?请在下面的评论中告诉我们!
图片来源:Marc Bruxelle/Shutterstock
- 发表于 2021-03-17 00:45
- 阅读 ( 174 )
- 分类:互联网
你可能感兴趣的文章
保护您的wordpress博客免受此chrome字体攻击
...这可能来自任何数量的攻击向量。 第三方应用程序——第三方插件、扩展和小部件很容易成为漏洞。尽管漏洞通常很快就会被修补,但其数量之多使得警方很难确保安全。 服务器受损——为了节省...
你必须从2016年的重大安全事件中学到什么
...特权。这可以通过恶意链接或在第三方市场上发现的恶意应用程序来实现。此漏洞仅影响Android pre Marshmallow 6.0的旧版本。尽管这大约占目前运行谷歌操作系统的所有设备的75%。 ...
怪物数据泄露暴露数百万密码
发现了一个名为Collection#1的巨大数据泄漏。集合#1包含数亿个电子邮件地址和数千万个密码。幸运的是,这些数据已经被加载到我的电脑中,所以很容易看出你是否受到了影响。 ...
facebook黑客攻击影响5000万账户
...而且非常尴尬)。这导致人们呼吁删除Facebook,据信有数百万人这样做。 ...
10个真实的例子,当数据收集暴露你的个人信息
...我们在Facebook和Cambridge Analytica上看到的那样,有时服务和应用程序会从社交用户那里获取数据,然后将其提供给第三方。 ...
什么是凭证填充攻击?
...黑客能够自动填充,让他们在短时间内对数十个站点测试数百万个登录凭据。以下是您需要了解的有关这次攻击的信息以及保护自己的简单方法。 ...
研究人员发现了一个无法弥补的安全漏洞,影响了数百万的智能家居设备
...escout的研究人员发布的一份新白皮书发现了一个可能影响数百万台联网设备的漏洞。 ...
骗子破坏了使命召唤:战区
...客和作弊软件被广泛应用于《皇家之战》的热播中,它让数百万玩家的社区感到沮丧,因为出版商Activision和开发者Infinity Ward和Raven software缺乏关注。 如今,这一沮丧情绪激化,以至于两家公司决定采取行动,在一天...
南卡罗来纳州遭遇前所未有的网络攻击,360万社保号码曝光
...所有的公民做出前所未有的大规模回应。 数百万居民面临身份盗窃的风险 凡自1998年以来在该州提交纳税申报表的人,请拨打1-866-578-5422。如果你是不幸的百万中的一员,你将获得一个代码,可以通过益百利的...
塔吉特的网络安全团队在黑客攻击前数月提出了担忧
...售商系统中的漏洞,几个月前,一个大规模的漏洞泄露了数百万购物者的数据。《华尔街日报》报道说,至少有一名内部分析师呼吁彻底审查目标公司支付终端周围的防御系统,这些终端后来在复杂的攻击中被渗透。《华尔街日...
0 篇文章
