Hur miljontals program är utsatta för en enda säkerhetshack
Vid årets Black Hat Europe-säkerhetskonferens presenterade två forskare från det kinesiska Hongkonguniversitetet forskning som visade ett utnyttjande som påverkar Android-appar som potentiellt kunde lämna över en miljard installerade program sårbara för attack.
Utnyttjandet är beroende av en man-i-mitten attack av mobil implementering av OAuth 2.0-godkännandestandarden. Det låter väldigt tekniskt, men vad betyder det egentligen, och är din data säker?
Vad är OAuth?
OAuth är en öppen standard som används av många webbplatser och appar 3 Viktiga säkerhetsvillkor Du måste förstå 3 viktiga säkerhetsvillkor du behöver förstå förvirrad av kryptering? Förvirrad av OAuth eller förstenad av Ransomware? Låt oss pissa på några av de vanligaste säkerhetsvillkoren, och exakt vad de menar. Läs mer så att du kan logga in på en tredje parts app eller webbplats genom att använda ett konto från en av de många OAuth-leverantörerna. Några av de vanligaste och mest kända exemplen är Google, Facebook och Twitter.
Med knappen Single Sign On (SSO) kan du ge tillgång till din kontoinformation. När du klickar på Facebook-knappen söker appen eller webbplatsen från tredje part efter en åtkomsttoken, vilket ger den tillgång till din Facebook-information.
Om denna token inte hittas kommer du att bli ombedd att tillåta tredje partens tillgång till ditt Facebook-konto. När du har godkänt detta får Facebook ett meddelande från tredje part som begär en åtkomsttoken.
Facebook svarar med en token och ger tredje part tillgång till den information du angav. Till exempel ger du tillgång till din grundläggande profilinformation, och dina vänner, men inte dina foton. Den tredje parten tar emot token och låter dig logga in med dina Facebook-uppgifter. Då, så länge som symbolet inte löper ut, kommer det att ha tillgång till den information du godkände.
Det här verkar som ett bra system. Du måste komma ihåg mindre lösenord och få enkelt att logga in och verifiera din information med ett konto du redan har. SSO-knapparna är ännu mer användbara på mobilen där nya lösenord skapas, där auktorisering av ett nytt konto kan vara tidskrävande.
Vad är problemet?
Den senaste OAuth-ramen - OAuth 2.0 - släpptes i oktober 2012 och var inte avsedd för mobilappar. Detta har lett till att många apputvecklare måste implementera OAuth på egen hand, utan vägledning om hur det ska ske säkert.
Medan OAuth på webbplatser använder direkt kommunikation mellan leverantörerna från tredje part och SSO-leverantör, använder mobila appar inte den här direktkommunikationsmetoden. I stället kommunicerar mobilappar till varandra via din enhet.
När du använder OAuth på en webbplats, levererar Facebook åtkomsttoken och autentiseringsinformation direkt till tredje partens servrar. Denna information kan sedan valideras innan du loggar in användaren i eller åtkomst till personuppgifter.
Forskarna fann att en stor procentandel av Android-program saknades av denna validering. I stället skickar Facebook-servrar access-token till Facebook-appen. Accesstoken skulle sedan levereras till appen från tredje part. Appen från tredje part skulle då tillåta dig att logga in, utan att verifiera med Facebook-servrar att användarinformationen var legitim.
Anfallaren kunde logga in som sig själva och utlösa OAuth-token-förfrågan. När Facebook har godkänt token kan de infoga sig mellan Facebook-servrar och Facebook-appen. Attackeren kan då ändra användar-ID på token till offrets. Användarnamnet är vanligtvis allmänt tillgänglig information, så det finns väldigt få hinder för angriparen. När användarnamnet har ändrats - men auktoriseringen fortfarande beviljats - kommer appen från tredje part att logga in på offrets konto.
Denna typ av exploatering är känd som en man-i-mitten-attack (MitM) Vad är en man-i-mittattack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer . Det är här angriparen kan avlyssna och ändra data, medan de två parterna tror att de kommunicerar direkt med varandra.
Hur påverkar detta dig?
Om en angripare kan lura en app för att tro att han är du, får hackaren tillgång till all information som du lagrar i den tjänsten. Forskarna skapade tabellen nedan, som listar några av de uppgifter du kan utsätta för olika typer av appar.
Vissa typer av information är mindre skadliga än andra. Du är mindre benägna att vara orolig att exponera din nyhetsläshistorik än alla dina reseplaner, eller förmågan att skicka och ta emot privata meddelanden i ditt namn. Det är en nykterande påminnelse om vilka typer av information vi regelbundet förmedlar till tredje part - och konsekvenserna av dess missbruk.
Skulle du oroa dig?
Forskarna fann att 41,21% av de 600 mest populära programmen som stöder SSO i Google Play Butik var sårbara för MitM-attacken. Detta kan eventuellt lämna miljontals användare runt om i världen utsatt för denna typ av attack. Teamet genomförde sin forskning på Android men de tror att det kan replikeras på IOS. Detta skulle möjligen lämna miljontals appar på de två största mobila operativsystemen som är utsatta för denna attack.
I skrivande stund har det inte förekommit några officiella uttalanden från Internet Engineering Task Force (IETF) som utvecklade OAuth 2.0-specifikationerna. Forskarna har nekat att namnge de berörda programmen, så du bör vara försiktig när du använder SSO på mobilappar.
Det finns en silverfoder. Forskarna har redan varnat Google och Facebook och andra SSO-leverantörer av exploit. Dessutom arbetar de tillsammans med de berörda tredjepartsutvecklarna för att åtgärda problemet.
Vad kan du göra nu?
Medan en fix kan vara på väg, finns det mycket av berörda program som ska uppdateras. Det här kommer sannolikt att ta tid, så det kan vara värt att inte använda SSO under tiden. Istället när du registrerar dig för ett nytt konto måste du se till att du skapar ett starkt lösenord. 6 Tips för att skapa ett obrottligt lösenord som du kan komma ihåg 6 tips för att skapa ett obrottsbart lösenord som du kan komma ihåg om dina lösenord inte är unika och oföränderliga Öppna också ytterdörren och bjud in rånarna till lunch. Läs mer du kommer inte glömma. Antingen det eller använd en lösenordshanterare Hur lösenordshanterare håller dina lösenord säkra Hur lösenordshanterare håller dina lösenord Säkra lösenord som är svåra att spricka är också svåra att komma ihåg. Vill du vara säker? Du behöver en lösenordshanterare. Så här fungerar de och hur de håller dig trygg. Läs mer för att göra den tunga lyftan för dig.
Det är bra att utföra din egen säkerhetskontroll Skydda dig själv med en årlig säkerhets- och sekretesskontroll. Skydda dig själv med en årlig säkerhets- och sekretesskontroll. Vi är nästan två månader in i det nya året, men det är fortfarande dags att göra en positiv upplösning. Glöm inte att dricka mindre koffein - vi pratar om att vidta åtgärder för att skydda onlinesäkerhet och integritet. Läs mer från tid till annan. Google kommer även att belöna dig i molnlagring Den här 5-minuters Google-kontrollen ger dig 2 GB ledigt utrymme Denna 5-minuters Google Checkup ger dig 2 GB ledigt utrymme Om du tar fem minuter att gå igenom denna säkerhetskontroll, kommer Google ger dig 2 GB ledig plats på Google Drive. Läs mer för att göra checkupen. Det här är en idealisk tid för att kolla vilka appar du har tillåtit att använda social inloggning? Ta dessa steg för att säkra dina konton med hjälp av social inloggning? Ta dessa steg för att säkra dina konton Om du använder en social inloggningstjänst (till exempel Google eller Facebook) kan du tro att allt är säkert. Inte så - det är dags att ta en titt på svagheterna i sociala logins. Läs mer på dina SSO-konton. Det här är speciellt viktigt på en webbplats som Facebook Hur man hanterar dina Facebook-loggar från tredje part [Veckovisa Facebook-tips] Hur man hanterar dina Facebook-loggar från tredje part [Weekly Facebook Tips] Hur många gånger har du tillåtit en tredje parts webbplats att ha Tillgång till ditt Facebook-konto? Så här kan du hantera dina inställningar. Läs mer, som lagrar en enorm mängd mycket personlig information. Hur Bulk laddar ner din Facebook-data och vilken information arkivet innehåller. Bulk Ladda ner din Facebook-data och vilken information arkivet innehåller. Efter ett europeiskt domstolsbeslut uppgraderade Facebook nyligen funktionen som tillåter användare att ladda ner ett arkiv av deras personuppgifter. Arkivalternativet har varit tillgängligt sedan 2010 och innehåller foton, videoklipp och meddelanden, ... Läs mer .
Tror du att det är dags att flytta ifrån Single Sign On? Vad tycker du är den bästa inloggningsmetoden? Har du påverkats av detta utnyttjande? Låt oss veta i kommentarerna nedan!
Bildkrediter: Marc Bruxelle / Shutterstock
Utforska mer om: Facebook, Smartphone Security.