Kui miljonid rakendused on ühe turvaaukude jaoks haavatavad

Reklaam

Selle aasta Black Hat Europe turvakonverentsil osalesid kaks teadlast Hiina Hongkongi ülikoolist esitles uuringuid, mis näitasid Androidi rakendusi mõjutavat ärakasutamist mis võib potentsiaalselt rünnata haavata üle miljardi installitud rakenduse.

Ärakasutamine tugineb OAuth 2.0 autoriseerimisstandardi mobiilirakenduse meesterahva rünnakule. See kõlab väga tehniliselt, kuid mida see tegelikult tähendab ja kas teie andmed on ohutud?

Mis on OAuth?

OAuth on avatud standard, mida kasutavad paljud veebisaidid ja rakendused 3 olulist turvatingimust, millest peate aru saamaSegatud krüptimine? OAuthi hämmingus või Ransomware'i kihvtina? Tutvustame mõnda kõige sagedamini kasutatavat turbeterminit ja täpselt seda, mida need tähendavad. Loe rohkem lubada teil sisse logida kolmanda osapoole rakendusse või veebisaidile, kasutades ühe paljude OAuthi pakkujate kontot. Mõned levinumad ja tuntumad näited on Google, Facebook ja Twitter.

Nupp Single Sign On (SSO) võimaldab teil juurdepääsu oma kontoteabele. Kui klõpsate Facebooki nupul, otsib kolmanda osapoole rakendus või veebisait juurdepääsu luba, võimaldades sellel juurdepääsu teie Facebooki teabele.

Kui seda luba ei leita, palutakse teil lubada kolmanda osapoole juurdepääs teie Facebooki kontole. Kui olete selle autoriseerinud, saab Facebook kolmandalt osapoolelt teate, milles palutakse juurdepääsu luba.

Facebook vastab märgiga, andes kolmandale osapoolele juurdepääsu teie määratud teabele. Näiteks annate juurdepääsu oma põhiteabele profiilile ja sõprade loendile, kuid mitte oma fotodele. Kolmas osapool saab loa ja lubab teil oma Facebooki mandaatidega sisse logida. Siis, kuni luba ei aegu, on tal juurdepääs teie volitatud teabele.

See tundub suurepärane süsteem. Peate meeles pidama vähem paroole ja saama juba olemasoleva kontoga hõlpsalt sisse logida ja oma andmeid kontrollida. SSO-nupud on mobiilis veelgi kasulikumad uute paroolide loomisel, kus uue konto autoriseerimine võib olla aeganõudev.

Mis on probleemiks?

Uusim OAuthi raamistik - OAuth 2.0 - ilmus oktoobris 2012 ja see polnud mõeldud mobiilirakenduste jaoks. See on viinud selleni, et paljud rakenduste arendajad peavad OAuthi iseseisvalt rakendama ilma juhisteta, kuidas seda turvaliselt teha.

Kui OAuth kasutab veebisaitidel otsest suhtlust kolmanda osapoole ja SSO-teenuse pakkuja serverite vahel, siis mobiilirakendused ei kasuta seda otsese suhtluse meetodit. Selle asemel suhtlevad mobiilirakendused teie seadme kaudu üksteisega.

OAuthi kasutamisel veebisaidil edastab Facebook pääsutunnuse ja autentimisteabe otse kolmanda osapoole serveritele. Seda teavet saab seejärel enne kasutaja sisse logimist või isiklikele andmetele juurdepääsu saamiseks kinnitada.

Teadlased leidsid, et suurel osal Androidi rakendustest puudus see valideerimine. Selle asemel saadavad Facebooki serverid juurdepääsu loa Facebooki rakendusele. Juurdepääsuluba edastatakse siis kolmanda osapoole rakendusele. Kolmanda osapoole rakendus lubab teil siis sisse logida, ilma et Facebooki serveritega veenduks, et kasutaja teave on seaduslik.

Ründaja sai end sisse logida, käivitades OAuthi sümboolika taotluse. Kui Facebook on loa loa andnud, saavad nad sisestada end Facebooki serverite ja Facebooki rakenduse vahele. Seejärel võib ründaja muuta tokeni kasutajatunnuse ohvri omaks. Ka kasutajanimi on tavaliselt avalikult kättesaadav teave, nii et ründajal on väga vähe tõkkeid. Kui kasutajatunnus on muudetud - kuid volitus on ikkagi antud -, logib kolmanda osapoole rakendus sisse ohvri konto alla.

Seda tüüpi ärakasutamist nimetatakse a kesktaseme (MitM) rünnak Mis on rünnak keskel? Turvalisuse žargoon selgitatudKui olete kuulnud keskeltläbi rünnakutest, kuid pole päris kindel, mida see tähendab, on see artikkel teile mõeldud. Loe rohkem . See on koht, kus ründaja suudab andmeid pealtkuulata ja neid muuta, samal ajal kui mõlemad pooled usuvad, et nad suhtlevad üksteisega otse.

Kuidas see sind mõjutab?

Kui ründaja suudab rakenduse petta, uskudes, et tema olete teie, saab häkker juurdepääsu kogu teabele, mida te selles teenuses talletate. Teadlased lõid allpool toodud tabeli, kus on loetletud teave, mida võite eri tüüpi rakenduste puhul paljastada.

Mõni teave on vähem kahjulik kui teised. Olete vähem mures oma uudiste lugemise ajaloo paljastamise pärast kui kõigi oma reisiplaanide pärast või võimaluse pärast saata ja vastu võtta teie nimel privaatsõnumeid. See on kainestav meeldetuletus teabe kohta, mida me regulaarselt usaldame kolmandatele osapooltele - ja selle väärkasutuse tagajärgedest.

Kas peaksite muretsema?

Teadlased leidsid, et 600 populaarseimast rakendusest, mis toetavad Google'i poes SSO-d, olid 41,21% MitM-rünnaku all haavatavad. See võib miljardeid kasutajaid kogu maailmas ohustada seda tüüpi rünnakutega. Meeskond viis uuringud läbi Androidi, kuid nad usuvad, et seda saab iOS-is korrata. See võib miljonid rakendused kahes suurimas mobiilses opsüsteemis selle rünnaku alla haavata.

Selle kirjutamise ajal ei olnud Interneti-tehnilise töökonna (IETF) ametlikke avaldusi, kes arendasid OAuth 2.0 spetsifikatsioonid. Teadlased on keeldunud mõjutatud rakenduste nimetamisest, seetõttu peaksite mobiilirakendustes SSO kasutamisel olema ettevaatlik.

Seal on hõbedane vooder. Teadlased on juba ära kasutanud Google'i ja Facebooki ning teisi SSO pakkujaid. Lisaks töötavad nad probleemi lahendamiseks koos mõjutatud kolmandate osapoolte arendajatega.

Mida saate nüüd teha?

Ehkki parandus võib olla alles teel, on neid palju mõjutatud rakendustest, mida värskendatakse. Tõenäoliselt võtab see natuke aega, nii et võib-olla tasuks SSO-d vahepeal mitte kasutada. Uue konto registreerimisel veenduge selle asemel kindlasti looge tugev parool 6 näpunäidet murdmatu parooli loomiseks, mida võite meeles pidadaKui teie paroolid pole ainulaadsed ja purunematud, võite sama hästi avada välisukse ja kutsuda röövlid lõunale. Loe rohkem te ei unusta. Kas seda või kasuta paroolide haldurit Kuidas paroolide haldurid teie paroole turvaliselt hoiavad?Paroole, mida on raske rikkuda, on samuti raske meelde jätta. Kas soovite olla ohutu? Teil on vaja paroolide haldurit. Siit saate teada, kuidas nad töötavad ja kuidas nad teid turvaliselt hoiavad. Loe rohkem teha teie jaoks raske tõstmine.

See on hea tava viige läbi oma turvakontroll Kaitske ennast iga-aastase turvalisuse ja privaatsuse kontrolligaUue aasta algus on peaaegu kaks kuud, kuid positiivse lahenduse leidmiseks on veel aega. Unustage vähem kofeiini joomist - me räägime meetmete võtmisest veebiturvalisuse ja privaatsuse tagamiseks. Loe rohkem aeg-ajalt. Google isegi premeerib teid pilvesalvestuses See 5-minutiline Google'i kontroll annab teile 2 GB vaba ruumiKui teil kulub selle turvakontrolli läbimiseks viis minutit, annab Google teile Google Drive'is 2 GB vaba ruumi. Loe rohkem nende kontrollimise eest. See on ideaalne aeg vaadake, millistele rakendustele olete loa andnud Kas kasutate sotsiaalset sisselogimist? Oma konto turvalisuse tagamiseks toimige järgmiseltKui kasutate sotsiaalset sisselogimisteenust (nt Google või Facebook), võite arvata, et kõik on turvaline. Mitte nii - on aeg heita pilk sotsiaalsete sisselogimiste nõrkustele. Loe rohkem teie SSO-kontodel. See on eriti oluline sellisel saidil nagu Facebook Kolmandate osapoolte Facebooki sisselogimiste haldamine [nädala Facebooki näpunäited]Mitu korda olete lubanud kolmanda osapoole saidil juurdepääsu teie Facebooki kontole? Siit saate teada, kuidas oma seadeid hallata. Loe rohkem , mis salvestab a tohutult palju isiklikku teavet Kuidas kogu oma Facebooki ajalugu alla laadidaAastate jooksul on Facebook kogunud teie kohta palju andmeid. Selles artiklis selgitame, kuidas oma Facebooki ajalugu alla laadida ja mida te tõenäoliselt peitete. Loe rohkem .

Kas arvate, et on aeg eemalduda ühekordsest sisselogimisest? Mis on teie arvates parim sisselogimisviis? Kas teid on see ärakasutamine mõjutanud? Andke meile allolevates kommentaarides teada!

Piltide autorid: Marc Bruxelle / Shutterstock