數百萬個應用程式如何容易受到一次安全駭客攻擊
在今年的黑帽歐洲安全會議上,來自香港中國大學的兩位研究人員展示了一項研究,顯示了影響Android應用程序的漏洞,這可能會導致超過十億個安裝的應用程序易受攻擊。
該攻擊依賴於oauth2.0授權標準的移動實現的中間人攻擊。這聽起來很技術,但它實際上意味著什麼,你的數據安全嗎?
什麼是oauth公司(oauth)?
OAuth是許多網站和應用程序使用的開放標準,允許您使用OAuth提供商之一的帳戶登錄到第三方應用程序或網站。一些最常見和最著名的例子是Google、Facebook和Twitter。
單點登錄(SSO)按鈕允許您授予對帳戶信息的訪問權限。當您單擊Facebook按鈕時,第三方應用程序或網站將查找訪問令牌,授予其訪問您的Facebook信息的權限。
如果找不到此令牌,您將被要求允許第三方訪問您的Facebook帳戶。一旦你授權了,Facebook就會收到一條來自第三方的請求訪問令牌的消息。
Facebook用一個令牌來響應,授予第三方訪問您指定信息的權限。例如,您允許訪問您的基本個人資料信息和朋友列表,但不允許訪問您的照片。第三方接收令牌並允許您使用Facebook憑據登錄。然後,只要令牌沒有過期,它就可以訪問您授權的信息。
這似乎是一個偉大的系統。你必須記住更少的密碼,並且可以很容易地登錄和驗證你的信息與一個帳戶,你已經有了。SSO按鈕在移動設備上更有用,因為在移動設備上創建新密碼、授權新帳戶可能很耗時。
有什麼問題嗎?
最新的OAuth框架——OAuth2.0——於2012年10月發佈,並不是為移動應用而設計的。這導致許多應用程序開發人員不得不自己實現OAuth,而沒有關於如何安全地實現OAuth的指導。
雖然網站上的OAuth使用第三方和SSO提供商的服務器之間的直接通信,但移動應用程序不使用這種直接通信方法。相反,移動應用程序通過你的設備相互通信。
在網站上使用OAuth時,Facebook將訪問令牌和身份驗證信息直接傳遞給第三方服務器。然後可以在用戶登錄或訪問任何個人數據之前驗證此信息。
研究人員發現,很大一部分Android應用程序缺少這種驗證。相反,Facebook的服務器將訪問令牌發送到Facebook應用程序。然後,訪問令牌將被傳遞到第三方應用程序。然後,第三方應用程序將允許您登錄,而無需向Facebook服務器驗證用戶信息是否合法。
攻擊者可以自己登錄,觸發OAuth令牌請求。一旦Facebook授權了這個代幣,他們就可以將自己**Facebook服務器和Facebook應用程序之間。然後,攻擊者可以將令牌上的用戶id更改為受害者的id。用戶名通常也是公開的信息,因此攻擊者幾乎沒有障礙。一旦用戶ID被更改——但授權仍然被授予——第三方應用程序將在受害者的帳戶下登錄。
這種類型的攻擊稱為中間人(MitM)攻擊。這就是攻擊者能夠截獲和更改數據的地方,而雙方都認為他們是在直接相互通信。
這對你有什麼影響?
如果攻擊者能夠欺騙應用程序,使其相信他就是你,那麼黑客就可以訪問你存儲在該服務中的所有信息。研究人員創建了下表,其中列出了您可能在不同類型的應用程序上公開的一些信息。
某些類型的信息的破壞性比其他類型的小。比起你所有的旅行計劃,你不太可能擔心暴露你的新聞閱讀記錄,或者擔心你能以你的名義收發私人信息。這是一個清醒的提醒,提醒我們經常委託給第三方的信息類型——以及濫用信息的後果。
你應該擔心嗎?
研究人員發現,在googleplay商店上支持SSO的600個最受歡迎的應用中,有41.21%容易受到MitM攻擊。這可能會讓全球數十億用戶暴露在這類攻擊之下。該團隊在Android上進行了研究,但他們相信它可以在iOS上覆制。這可能會使這兩個最大的移動操作系統上的數百萬應用程序易受攻擊。
在撰寫本文時,還沒有開發OAuth2.0規範的internet工程任務組(IETF)的正式聲明。研究人員拒絕透露受影響的應用程序的名稱,因此在移動應用程序上使用SSO時應謹慎。
有一線希望。研究人員已經向谷歌、Facebook和其他SSO提供商發出了該漏洞的警報。除此之外,他們還與受影響的第三方開發人員合作解決問題。
你現在能做什麼?
雖然修復可能正在進行中,但仍有許多受影響的應用程序需要更新。這可能需要一些時間,因此暫時不使用SSO是值得的。相反,當你註冊一個新帳戶時,確保你創建了一個不會忘記的強密碼。或者使用密碼管理器為你做繁重的工作。
經常進行自己的安全檢查是個好習慣。谷歌甚至會獎勵你在雲存儲中執行他們的檢查。這是一個理想的時間來檢查哪些應用程序,你已經給你的SSO帳戶的權限。這在Facebook這樣的網站上尤其重要,因為它存儲了大量非常私人的信息。
你認為是時候擺脫單一登錄了嗎?你認為最好的登錄方式是什麼?您是否受到此漏洞的影響?請在下面的評論中告訴我們!
圖片來源:Marc Bruxelle/Shutterstock
- 發表於 2021-03-17 00:45
- 閱讀 ( 43 )
- 分類:安全
你可能感興趣的文章
保護您的wordpress部落格免受此chrome字型攻擊
...保安全。 伺服器受損——為了節省資源,數百萬個網站都託管在“共享”伺服器上。它實現了超低成本的網路託管,但同時也為駭客入侵多個網站創造了機會。 網路釣魚——由於其持續的有效性,...
你必須從2016年的重大安全事件中學到什麼
...otify在4月份遭遇了一次神祕的、仍無法解釋的洩露,導致數百個賬戶在巴斯德賓上洩露。這一引人注目的流行遊戲“**”是下一個系列,但這次不是公司本身。相反,雷艇fansite救生艇遭到襲擊,揭露了700多萬賬戶和該地點的不良...
dropbox駭客攻擊影響6800萬用戶,你也可以起訴蘋果。。。【科技新聞摘要】
...被盜。這就解釋了為什麼Dropbox上週突然莫名其妙地迫使數百萬使用者更改密碼。這可能是一個古老的入侵,但它仍然有能力影響任何人閱讀。 ...
你是6900萬被駭客攻擊的dropbox使用者之一嗎?
...16年8月,據證實,2012年年中之前在Dropbox上建立的超過6800萬個使用者帳戶顯然已在網上洩露了其相關密碼。 截至發稿時,仍不清楚洩露的資訊是如何或為什麼花了四年時間才出現的,但現在,Dropbox已經採取了...
5000萬facebook賬戶遭駭客攻擊:你該怎麼辦?
... 9月的最後一週傳出了一條最大的訊息:5000萬個人Facebook使用者賬戶遭到駭客攻擊。Facebook重置了9000萬個賬戶的密碼,只是為了確定,這表明最終被洩露賬戶的數量可能會上升。 ...
facebook駭客攻擊影響5000萬賬戶
...(而且非常尷尬)。這導致人們呼籲刪除Facebook,據信有數百萬人這樣做。 ...
你的iphone會被駭客攻擊嗎?
...。 iOS中沒有授予系統完全訪問許可權的許可權級別。每個應用程式都是沙盒的,這意味著軟體在一個安全的“沙盒”環境中從系統的其餘部分分離出來。這可以防止潛在有害的應用程式影響系統的其他部分,包括限制對個人資...
你從facebook登出了嗎?因為5000萬人被駭客攻擊了
...友身份登入,直到6度的凱文·培根之後,他們訪問了5000萬個帳戶。 你需要知道的 更新:我們現在知道,其他使用Facebook登入的應用程式很可能受到影響,駭客可能會訪問Instagram、Tinder、Spotify或其他任何東西。 關於這次崩潰的...
gab指責有報道稱“惡魔駭客”被駭客攻擊了4000萬個帖子
據報道,右翼社交媒體網站Gab遭到駭客攻擊,執行長安德魯•託巴(Andrew Torba)在Twitter上表示,應該歸咎於“惡魔駭客”,並用一種跨恐懼的汙衊來形容他們。 《連線》首先報道說,一名駭客,名叫“JaXpArO和我的小...
rockyou與ftc達成和解,據稱該公司將3200萬個賬戶置於駭客攻擊之下
...項安全服務的同時,實施了一些不良做法,導致2009年3200萬個賬戶被駭客竊取。美國聯邦貿易委員會(FTC)曾提起民事訴訟,指控RockYou謊稱其服務是安全的,而實際上,RockYou儲存的是賬戶資訊的明文資料庫,並鼓勵使用短而弱...
