Hvor millioner av apper er utsatt for en enkelt sikkerhetshack
På dette års Black Hat Europe-sikkerhetskonferanse presenterte to forskere fra det kinesiske Hongkonguniversitetet forskning som viste en utnyttelse som berørte Android-apper som potensielt kunne etterlate over en milliard installerte applikasjoner utsatt for angrep.
Utnyttelsen er avhengig av et man-i-midten-angrep av mobil implementering av OAuth 2.0 autorisasjonsstandarden. Det høres veldig teknisk ut, men hva betyr det egentlig, og er dataene dine trygge?
Hva er OAuth?
OAuth er en åpen standard som brukes av mange nettsteder og apper. 3 Viktige sikkerhetsvilkår Du må forstå 3 viktige sikkerhetsvilkår du trenger å forstå forvirret av kryptering? Forvirret av OAuth, eller forstenet av Ransomware? La oss pusse på noen av de mest brukte sikkerhetsbetingelsene, og akkurat hva de mener. Les mer for å tillate deg å logge deg på en tredjeparts app eller et nettsted ved å bruke en konto fra en av de mange OAuth-leverandørene. Noen av de vanligste og mest kjente eksemplene er Google, Facebook og Twitter.
Knappen Single Sign On (SSO) lar deg gi tilgang til kontoinformasjonen din. Når du klikker på Facebook-knappen, ser appen eller nettstedet fra tredjepart etter tilgangstoken, og gir den tilgang til Facebook-informasjonen.
Hvis dette token ikke er funnet, blir du bedt om å tillate tredjeparts tilgang til din Facebook-konto. Når du har godkjent dette, mottar Facebook en melding fra tredjepart som ber om et tilgangstoken.
Facebook reagerer med et token, og gir tredjeparts tilgang til informasjonen du oppgav. For eksempel gir du tilgang til din grunnleggende profilinformasjon og venneliste, men ikke bildene dine. Tredjeparten mottar token og lar deg logge inn med din Facebook-legitimasjon. Så, så lenge symbolet ikke utløper, vil det ha tilgang til informasjonen du har autorisert.
Dette virker som et godt system. Du må huske mindre passord, og få enkelt å logge inn og bekrefte informasjonen din med en konto du allerede har. SSO-knappene er enda mer nyttige på mobilen der du oppretter nye passord, hvor autorisering av en ny konto kan være tidkrevende.
Hva er problemet?
Det siste OAuth-rammeverket - OAuth 2.0 - ble utgitt i oktober 2012, og ble ikke utviklet for mobilapper. Dette har ført til at mange app-utviklere måtte implementere OAuth alene, uten veiledning om hvordan det skulle gjøres sikkert.
Selv om OAuth på nettsteder bruker direkte kommunikasjon mellom tredjeparts- og SSO-leverandørens servere, bruker ikke mobile apper denne direkte kommunikasjonsmetoden. I stedet kommuniserer mobilapper med hverandre via enheten din.
Når du bruker OAuth på et nettsted, leverer Facebook tilgangstoken og godkjenningsinformasjon direkte til tredjeparts servere. Denne informasjonen kan deretter valideres før du logger brukeren inn eller får tilgang til personlige opplysninger.
Forskerne fant at en stor prosentandel av Android-applikasjoner manglet denne valideringen. I stedet sender Facebooks servere tilgangstoken til Facebook-appen. Tilgangstokenet vil da bli levert til tredjepartsprogrammet. Tredjepartsappen vil da tillate deg å logge inn, uten å verifisere med Facebook-servere at brukerinformasjonen var legitim.
Angriperen kunne logge seg som seg selv, utløse OAuth-token-forespørselen. Når Facebook har godkjent token, kan de sette seg inn mellom Facebook-servere og Facebook-appen. Angriperen kan da endre bruker-ID på symbolet til offerets. Brukernavnet er vanligvis offentlig tilgjengelig informasjon, så det er svært få barrierer for angriperen. Når bruker-IDen er endret - men autorisasjonen fortsatt tildeles - logger tredjepartsappen inn under offerets konto.
Denne typen utnyttelse er kjent som et menneske i midten (MitM) angrep. Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer . Det er her angriperen kan avskjære og endre data, mens de to partiene mener at de kommuniserer direkte med hverandre.
Hvordan påvirker dette deg?
Hvis en angriper kan lure en app til å tro at han er deg, får hackeren tilgang til all informasjonen du lagrer i den tjenesten. Forskerne opprettet tabellen som er vist nedenfor, som viser noen av informasjonen du kan utsette for ulike typer apper.
Noen typer informasjon er mindre skadelige enn andre. Du er mindre sannsynlig å være bekymret for å utsette nyhetslesingsloggen din enn alle dine reiseplaner, eller evnen til å sende og motta private meldinger i ditt navn. Det er en nyskapende påminnelse om hvilke typer informasjon vi regelmessig overlater til tredjeparter - og konsekvensene av misbruk.
Skulle du bekymre deg?
Forskerne fant at 41,21% av de 600 mest populære appene som støtter SSO på Google Play butikken, var sårbare for MitM-angrepet. Dette kan potensielt la milliarder brukere rundt om i verden bli utsatt for denne typen angrep. Laget gjennomførte sin forskning på Android, men de tror at det kan kopieres på IOS. Dette vil potensielt forlate millioner av apper på de to største mobile operativsystemene som er sårbare for dette angrepet.
På tidspunktet for skriving har det ikke vært noen offisielle uttalelser fra Internett-arbeidsgruppen (IETF) som utviklet OAuth 2.0-spesifikasjonene. Forskerne har nektet å nevne de berørte appene, så du bør være forsiktig når du bruker SSO på mobilapper.
Det er en sølvfôr. Forskerne har allerede varslet Google og Facebook, og andre SSO-leverandører av utnyttelsen. På toppen av det jobber de sammen med de berørte tredjepartsutviklerne for å fikse problemet.
Hva kan du gjøre nå?
Mens en fikse kan være på vei, er det mye av berørte apper som skal oppdateres. Dette vil trolig ta litt tid, så det kan være verdt å ikke bruke SSO i mellomtiden. I stedet, når du registrerer deg for en ny konto, må du sørge for at du oppretter et sterkt passord. 6 Tips for å lage et ubrytelig passord som du kan huske. 6 Tips for å lage et ubrytelig passord som du kan huske Hvis passordene dine ikke er unike og ubrydelige, kan du kanskje Åpne også inngangsdøren og inviter røvere inn til lunsj. Les mer du vil ikke glemme. Enten det eller bruk en passordbehandling Hvordan passordadministratorer holder passordene dine trygge Hvordan passordadministratorer holder passordene dine? Passord som er vanskelig å knekke, er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygge. Les mer for å gjøre det tunge løftet for deg.
Det er god praksis å gjennomføre din egen sikkerhetskontroll. Beskytt deg selv med en årlig sikkerhet og personvernskontroll. Beskytt deg selv med en årlig sikkerhets- og personvernkontroll. Vi er nesten to måneder inn i det nye året, men det er fortsatt tid til å gjøre en positiv oppløsning. Glem å drikke mindre koffein - vi snakker om å ta skritt for å sikre online sikkerhet og personvern. Les mer fra tid til annen. Google vil selv belønne deg i skylagring Denne 5-minutters Google-kontrollen gir deg 2 GB ledig plass Denne 5-minutters Google-kontrollen gir deg 2 GB ledig plass Hvis du tar fem minutter til å gjennomgå denne sikkerhetsbekreftelsen, vil Google gir deg 2 GB ledig plass på Google Disk. Les mer for å utføre kontrollen. Dette er en ideell tid for å sjekke ut hvilke programmer du har gitt tillatelse til å bruke sosial pålogging? Ta disse trinnene for å sikre kontoene dine ved hjelp av sosial pålogging? Ta disse trinnene for å sikre dine kontoer Hvis du bruker en sosial påloggingstjeneste (for eksempel Google eller Facebook), kan du tro at alt er sikkert. Ikke så - det er på tide å ta en titt på svakhetene i sosiale innlogginger. Les mer på SSO-kontoene dine. Dette er spesielt viktig på et nettsted som Facebook Slik administrerer du Facebook-loggene fra tredjepart [Ukentlige Facebook-tips] Slik administrerer du tredjeparts Facebook-pålogginger [Ukentlige Facebook-tips] Hvor mange ganger har du tillatt et tredjeparts nettsted å ha Tilgang til Facebook-kontoen din? Slik kan du administrere innstillingene dine. Les mer, som lagrer en enorm mengde svært personlig informasjon. Slik laster du ned Last ned dine Facebook-data og hvilken informasjon arkivene inneholder. Slik laster du ned Last ned dine Facebook-data og hvilke opplysninger arkivet inneholder. Etter en europeisk rettsavgjørelse har Facebook nylig oppgradert funksjonen som lar brukerne laste ned et arkiv av deres personlige data. Arkivalternativet har vært tilgjengelig siden 2010 og inneholder bilder, videoer og meldinger, ... Les mer .
Tror du det er på tide å bevege seg bort fra Enkelt pålogg? Hva synes du er den beste innloggingsmetoden? Har du blitt påvirket av denne utnyttelsen? Gi oss beskjed i kommentarene nedenfor!
Image Credits: Marc Bruxelle / Shutterstock
Utforsk mer om: Facebook, Smartphone Security.