Mainos
Tämän vuoden Black Hat Europe -turvallisuuskonferenssissa kaksi tutkijaa Kiinan Hongkongin yliopistosta esitteli tutkimuksen, joka osoitti Android-sovelluksiin vaikuttavan hyväksikäytön joka voi mahdollisesti jättää yli miljardin asennetun sovelluksen alttiiksi hyökkäyksille.
Hyödyntäminen perustuu OAuth 2.0: n valtuutusstandardin mobiililaitteiston toteutuksen keskipisteen hyökkäykseen. Kuulostaa erittäin tekniseltä, mutta mitä se oikeastaan tarkoittaa, ja ovatko tietosi turvassa?
Mikä on OAuth?
OAuth on avoin standardi, jota monet sivustot ja sovellukset käyttävät 3 Tärkeät ymmärrettävät turvallisuusehdotSekoittaako salaus? Hämmentynyt OAuth tai kivettynyt Ransomware? Tarkastellaan joitain yleisimmin käytettyjä tietoturvatermejä ja mitä ne tarkoittavat. Lue lisää jotta voit kirjautua sisään kolmannen osapuolen sovellukseen tai verkkosivustoon käyttämällä yhden monista OAuth-palveluntarjoajista tiliä. Jotkut yleisimmistä ja tunnetuimmista esimerkeistä ovat Google, Facebook ja Twitter.
Kertakirjautumisen (SSO) -painikkeen avulla voit myöntää pääsyn tilitietoihisi. Kun napsautat Facebook-painiketta, kolmannen osapuolen sovellus tai verkkosivusto etsii käyttöoikeustunnuksen, joka antaa sille pääsyn Facebook-tietoihisi.
Jos tätä tunnusta ei löydy, sinua pyydetään sallimaan kolmannen osapuolen pääsy Facebook-tiliisi. Kun olet valtuuttanut tämän, Facebook saa viestin kolmannelta osapuolelta, jossa pyydetään käyttöoikeustunnusta.
Facebook vastaa tunnuksella, joka antaa kolmannelle osapuolelle pääsyn määrittämiisi tietoihin. Voit esimerkiksi myöntää pääsyn perustiedot profiilisi ja ystäväluettelosi, mutta ei valokuvia. Kolmas osapuoli vastaanottaa tunnuksen ja antaa sinun kirjautua sisään Facebook-käyttäjätiedoillasi. Sitten, niin kauan kuin tunnus ei vanhene, sillä on pääsy valtuutettuihin tietoihin.
Tämä näyttää hyvältä järjestelmältä. Sinun on muistettava vähemmän salasanoja, ja sinun on kirjauduttava sisään ja vahvistettava tietosi helposti jo olemassa olevalla tilillä. SSO-painikkeet ovat entistä hyödyllisempiä mobiililaitteissa uusien salasanojen luomisessa, kun uuden tilin valtuuttaminen voi olla aikaa vievää.
Mikä on ongelma?
Uusin OAuth-kehys - OAuth 2.0 - julkaistiin lokakuussa 2012, eikä sitä ole suunniteltu mobiilisovelluksille. Tämä on johtanut siihen, että monien sovelluskehittäjien on toteutettava OAuth itse, ilman ohjeita siitä, miten se tulisi tehdä turvallisesti.
Vaikka OAuth käyttää verkkosivustoilla suoraa viestintää kolmannen osapuolen ja SSO-palveluntarjoajan palvelimien välillä, mobiilisovellukset eivät käytä tätä suoraa viestintätapaa. Sen sijaan mobiilisovellukset kommunikoivat keskenään laitteen kautta.
Kun OAuthia käytetään verkkosivustolla, Facebook toimittaa käyttöoikeustunnuksen ja todennustiedot suoraan kolmannen osapuolen palvelimille. Nämä tiedot voidaan sitten vahvistaa ennen käyttäjän kirjautumista sisään tai henkilökohtaisten tietojen käyttöä.
Tutkijat havaitsivat, että suuri osa Android-sovelluksista puuttui tästä validoinnista. Sen sijaan Facebookin palvelimet lähettävät käyttöoikeustunnuksen Facebook-sovellukseen. Käyttöoikeustunnus toimitetaan sitten kolmannen osapuolen sovellukselle. Kolmannen osapuolen sovellus sallii sinun kirjautua sisään varmistamatta Facebookin palvelimilla, että käyttäjätiedot olivat laillisia.
Hyökkääjä voi kirjautua sisään itsenäisesti, laukaistaan OAuth-tunnuspyynnön. Kun Facebook on valtuuttanut tunnuksen, he voivat sijoittaa itsensä Facebookin palvelimien ja Facebook-sovelluksen väliin. Hyökkääjä voi sitten muuttaa tunnuksen käyttäjätunnuksen uhrin omaksi. Käyttäjätunnus on yleensä myös julkisesti saatavilla oleva tieto, joten hyökkääjälle on hyvin vähän esteitä. Kun käyttäjätunnus on vaihdettu - mutta valtuutus on edelleen myönnetty -, kolmannen osapuolen sovellus kirjautuu sisään uhrin tilille.
Tämän tyyppinen hyväksikäyttö tunnetaan nimellä ihmisen keskellä (MitM) hyökkäys Mikä on keskellä oleva hyökkäys? Turvallisuusrgongi selitettyJos olet kuullut keskitason ihmisten hyökkäyksistä, mutta et ole aivan varma, mitä tämä tarkoittaa, tämä on artikkeli sinulle. Lue lisää . Täällä hyökkääjä pystyy sieppaamaan ja muuttamaan tietoja, kun taas osapuolet uskovat kommunikoivansa suoraan toistensa kanssa.
Kuinka tämä vaikuttaa sinuun?
Jos hyökkääjä voi huijata sovelluksen uskomaan olevansa sinä, hakkeri saa pääsyn kaikkiin kyseiseen palveluun tallentamiin tietoihin. Tutkijat loivat alla olevan taulukon, jossa luetellaan joitain tietoja, jotka saatat paljastaa erityyppisissä sovelluksissa.
Jotkut tiedot ovat vähemmän vahingollisia kuin toiset. Et todennäköisesti ole huolissasi paljastamasi uutislukemishistoriaasi kuin kaikki matkasuunnitelmasi tai kykysi lähettää ja vastaanottaa yksityisiä viestejä nimessäsi. Se on raituttava muistutus siitä, minkä tyyppisiä tietoja me säännöllisesti luotamme kolmansille osapuolille - ja väärinkäytön seurauksista.
Pitäisikö sinun huolehtia?
Tutkijat havaitsivat, että 600 suosituimmasta sovelluksesta, joka tukee SSO: ta Google Play Kaupassa, 41,21% oli alttiita MitM-hyökkäykselle. Tämä voi mahdollisesti jättää miljardeja käyttäjiä ympäri maailmaa alttiiksi tällaiselle hyökkäykselle. Ryhmä teki tutkimusta Androidilla, mutta uskovat, että se voidaan toistaa iOS: ssä. Tämä mahdollistaisi, että miljoonat sovellukset kahdessa suurimmassa mobiilisovellusjärjestelmässä olisivat alttiita tälle hyökkäykselle.
Kirjoittamishetkellä Internet-työryhmä (IETF), joka kehitti OAuth 2.0 -määritykset, ei ole antanut virallisia lausuntoja. Tutkijat ovat kieltäytyneet nimeämästä kyseisiä sovelluksia, joten sinun on oltava varovainen käyttäessäsi SSO-sovellusta mobiilisovelluksissa.
Siellä on hopeavuori. Tutkijat ovat jo varoittaneet Googlea ja Facebookia sekä muita SSO-palveluntarjoajia hyväksikäytöstä. Lisäksi he työskentelevät yhdessä asianomaisten kolmansien osapuolien kehittäjien kanssa ongelman ratkaisemiseksi.
Mitä voit tehdä nyt?
Vaikka korjaus saattaa olla matkalla, on paljon päivitettävistä sovelluksista. Tämä vie todennäköisesti jonkin aikaa, joten voi olla syytä olla käyttämättä SSO: ta tällä välin. Sen sijaan, kun rekisteröit uutta tiliä, varmista, että olet luo vahva salasana 6 vinkkiä murtumattoman salasanan luomiseenJos salasanasi eivät ole ainutlaatuisia ja särkymättömiä, saatat yhtä hyvin avata oven ja kutsua ryöstäjät lounaalle. Lue lisää et unohda. Joko se tai käytä salasananhallintaa Kuinka salasanan hallitsijat pitävät salasanasi turvassaSalasanat, joita on vaikea murtaa, on myös vaikea muistaa. Haluatko olla turvassa? Tarvitset salasananhallinnan. Näin he työskentelevät ja kuinka pitävät sinut turvassa. Lue lisää tehdä raskas nosto puolestasi.
Se on hyvä käytäntö suorita oma turvallisuustarkastuksesi Suojaa itsesi vuosittaisilla turvallisuus- ja yksityistarkastuksillaMeillä on melkein kaksi kuukautta uuteen vuoteen, mutta positiivisen ratkaisun löytämiseen on vielä aikaa. Unohda vähemmän kofeiinin juominen - puhumme toimenpiteistä online-tietoturvan ja yksityisyyden turvaamiseksi. Lue lisää ajoittain. Google jopa palkitsee sinut pilvisäilössä Tämä 5 minuutin Google-tarkastus antaa sinulle 2 Gt vapaata tilaaJos kestää viisi minuuttia tämän turvatarkastuksen läpi, Google antaa sinulle 2 Gt vapaata tilaa Google Drivessa. Lue lisää heidän tarkistuksen suorittamisesta. Tämä on ihanteellinen aika tarkista, mille sovelluksille olet antanut luvan Käytätkö sosiaalista kirjautumista? Suorita nämä vaiheet tilien suojaamiseksiJos käytät sosiaalista kirjautumispalvelua (kuten Google tai Facebook), saatat ajatella, että kaikki on turvassa. Ei niin - on aika katsoa sosiaalisten kirjautumisten heikkouksia. Lue lisää SSO-tileilläsi. Tämä on erityisen tärkeä sivustolla kuten Facebook Kuinka hallita kolmansien osapuolien Facebook-kirjautumistietojasi [Weekly Facebook Tips]Kuinka monta kertaa olet antanut kolmannen osapuolen sivustolle pääsyn Facebook-tiliisi? Näin voit hallita asetuksiasi. Lue lisää , joka tallentaa a valtava määrä erittäin henkilökohtaisia tietoja Koko Facebook-historian lataaminenFacebook on kerännyt vuosien varrella paljon tietoja sinusta. Tässä artikkelissa selitämme, kuinka voit ladata Facebook-historian ja mitä todennäköisesti löytyy sisällöstäsi. Lue lisää .
Luuletko, että on aika siirtyä pois kertakirjautumisesta? Mikä on mielestäsi paras kirjautumistapa? Onko tämä hyväksikäyttö vaikuttanut sinuun? Kerro meille alla olevissa kommenteissa!
Kuvapisteet: Marc Bruxelle / Shutterstock
James on MakeUseOfin ostamisoppaiden ja laitteistouutisten toimittaja ja freelance-kirjailija, joka haluaa tehdä tekniikasta kaikkien saatavilla olevan ja turvallisen. Teknologian rinnalla kiinnostaa myös terveys, matkat, musiikki ja mielenterveys. Konetekniikan alalta valmistunut Surreyn yliopistosta. Löytyy myös kirjoittamasta kroonisesta sairaudesta PoTS Jotsissa.
