Reklama
Na tohtoročnej bezpečnostnej konferencii Black Hat Europe, dvaja vedci z čínskej univerzity v Hongkongu predstavil výskum, ktorý ukázal zneužitie ovplyvňujúce aplikácie pre Android ktoré by potenciálne mohli nechať viac ako miliardu nainštalovaných aplikácií náchylných na útok.
Využitie sa opiera o útok typu človek v strede mobilnej implementácie autorizačného štandardu OAuth 2.0. Znie to veľmi technicky, ale čo to vlastne znamená a sú vaše údaje v bezpečí?
Čo je OAuth?
OAuth je otvorený štandard, ktorý používa veľa webových stránok a aplikácií 3 Základné bezpečnostné podmienky, ktorým musíte porozumieťZmätené šifrovaním? Nepochopený OAuthom alebo skamenený spoločnosťou Ransomware? Pozrime sa na niektoré z najčastejšie používaných bezpečnostných pojmov a presne na to, čo znamenajú. Čítaj viac aby ste sa mohli prihlásiť do aplikácie alebo webu tretej strany pomocou účtu od jedného z mnohých poskytovateľov služieb OAuth. Medzi najbežnejšie a najznámejšie príklady patria Google, Facebook a Twitter.
Tlačidlo Single Sign On (SSO) vám umožňuje udeliť prístup k informáciám o vašom účte. Po kliknutí na tlačidlo Facebook vyhľadá aplikácia alebo webová stránka tretej strany prístupový token, ktorý mu umožní prístup k vašim informáciám na Facebooku.
Ak sa tento token nenájde, zobrazí sa výzva na povolenie prístupu tretej strany k vášmu účtu Facebook. Keď to povolíte, Facebook dostane správu od tretej strany so žiadosťou o prístupový token.
Facebook odpovie tokenom a poskytne tretej strane prístup k informáciám, ktoré ste zadali. Napríklad udeľujete prístup k svojim základným informáciám o profile a zoznamu priateľov, ale nie k svojim fotografiám. Tretia strana dostane token a umožňuje vám prihlásiť sa pomocou svojich poverení na Facebooku. Pokiaľ token nevyprší, bude mať prístup k informáciám, ktoré ste autorizovali.
Vyzerá to ako skvelý systém. Musíte si pamätať menej hesiel a jednoducho sa prihlásiť a overiť svoje informácie pomocou účtu, ktorý už máte. Tlačidlá SSO sú ešte užitočnejšie na mobilných zariadeniach, kde vytváranie nových hesiel, kde autorizácia nového účtu môže byť časovo náročná.
Aký je problém?
Najnovší rámec OAuth - OAuth 2.0 - bol vydaný v októbri 2012 a nebol navrhnutý pre mobilné aplikácie. To viedlo k tomu, že mnohí vývojári aplikácií museli implementovať OAuth sami, bez usmernenia, ako by sa to malo robiť bezpečne.
Aj keď OAuth na webových stránkach používa priamu komunikáciu medzi servermi tretích strán a poskytovateľa SSO, mobilné aplikácie tento spôsob priamej komunikácie nepoužívajú. Namiesto toho si mobilné aplikácie navzájom komunikujú prostredníctvom vášho zariadenia.
Pri používaní protokolu OAuth na webovej lokalite Facebook doručuje prístupový token a informácie o autentifikácii priamo na servery tretích strán. Tieto informácie potom môžu byť overené pred prihlásením používateľa alebo prístupom k akýmkoľvek osobným údajom.
Vedci zistili, že veľké percento aplikácií pre systém Android toto overenie chýba. Namiesto toho servery Facebooku odosielajú prístupový token do aplikácie Facebook. Prístupový token sa potom doručí aplikácii tretej strany. Aplikácia tretej strany by vám potom umožnila prihlásiť sa bez overenia na serveroch Facebooku, či boli informácie o používateľovi legitímne.
Útočník sa mohol prihlásiť ako sám, čím spustil požiadavku na token OAuth. Keď Facebook povolí token, môžu sa vložiť medzi servery Facebooku a do aplikácie Facebook. Útočník by potom mohol zmeniť meno používateľa na tokene na meno obete. Používateľské meno je zvyčajne tiež verejne dostupná informácia, takže pre útočníka existuje veľmi málo prekážok. Po zmene užívateľského mena - ale autorizácia je stále udelená - sa aplikácia tretej strany prihlási na účet obete.
Tento druh vykorisťovania je známy ako útok stredne (MitM) Čo je to útok typu Človek v strede? Vysvetlenie bezpečnostného žargónuAk ste už počuli o útokoch typu „človek v strede“, ale nie ste si úplne istí, čo to znamená, toto je článok pre vás. Čítaj viac . V takom prípade je útočník schopný zachytiť a zmeniť údaje, zatiaľ čo obe strany sa domnievajú, že komunikujú priamo medzi sebou.
Ako to ovplyvní vás?
Ak je útočník schopný oklamať aplikáciu v domnienke, že je vám, hacker získa prístup ku všetkým informáciám, ktoré v tejto službe uložíte. Vedci vytvorili nasledujúcu tabuľku, v ktorej sú uvedené niektoré informácie, ktoré môžete vystaviť rôznym typom aplikácií.
Niektoré typy informácií sú menej škodlivé ako iné. Je menej pravdepodobné, že sa obávate, že odhalíte svoju históriu čítania správ, než všetky vaše cestovné plány alebo schopnosť odosielať a prijímať súkromné správy vo vašom mene. Je to triezvo pripomínajúce druhy informácií, ktoré pravidelne zverujeme tretím stranám - a dôsledky ich zneužitia.
Mali by ste sa báť?
Vedci zistili, že 41,21% zo 600 najobľúbenejších aplikácií, ktoré podporujú SSO v Obchode Google Play, bolo zranených útokom MitM. To by mohlo potenciálne nechať miliardy používateľov na celom svete vystavených tomuto typu útoku. Tím uskutočnil svoj výskum v systéme Android, ale verí, že ho možno replikovať v systéme iOS. Takto by potenciálne milióny aplikácií na dvoch najväčších mobilných operačných systémoch boli zraniteľné týmto útokom.
V čase písania správy neboli žiadne oficiálne vyhlásenia pracovnej skupiny pre internetovú techniku (IETF), ktorá vyvinula špecifikácie OAuth 2.0. Vedci odmietli pomenovať dotknuté aplikácie, preto by ste mali pri používaní SSO v mobilných aplikáciách postupovať opatrne.
Je tam strieborná podšívka. Vedci už upozornili spoločnosť Google a Facebook a ďalších poskytovateľov SSO na využitie. Okrem toho pracujú spolu s vývojármi postihnutých tretích strán, aby problém vyriešili.
Čo môžete urobiť teraz?
Aj keď môže byť oprava na ceste, existujú veľa ovplyvnených aplikácií, ktoré sa majú aktualizovať. Je pravdepodobné, že to bude nejaký čas trvať, takže medzitým sa pravdepodobne nebude musieť používať SSO. Namiesto toho sa pri registrácii na nový účet uistite vytvoriť silné heslo 6 tipov na vytvorenie nerozbitného hesla, na ktoré si pamätáteAk vaše heslá nie sú jedinečné a nerozbitné, môžete tiež otvoriť predné dvere a pozvať lupičov na obed. Čítaj viac nezabudneš. Buď to, alebo používať správcu hesiel Ako správcovia hesiel udržiavajú vaše heslá v bezpečíHeslá, ktoré sa ťažko dajú prelomiť, sa tiež ťažko pamätajú. Chcete byť v bezpečí? Potrebujete správcu hesiel. Takto fungujú a ako vás udržiavajú v bezpečí. Čítaj viac urobiť pre vás ťažké zdvíhanie.
Je to dobrý postup vykonajte svoju vlastnú bezpečnostnú kontrolu Chráňte sa každoročnou kontrolou zabezpečenia a ochrany osobných údajovSme takmer dva mesiace do nového roka, ale stále je čas urobiť pozitívne rozhodnutie. Zabudnite na pitie menej kofeínu - hovoríme o podniknutí krokov na zabezpečenie online bezpečnosti a súkromia. Čítaj viac z času na čas. Google bude dokonca odmeňte vás v cloude Táto 5-minútová kontrola Google vám dá 2 GB voľného miestaAk absolvujete túto bezpečnostnú kontrolu päť minút, spoločnosť Google vám na Disku Google poskytne 2 GB voľného miesta. Čítaj viac za vykonanie kontroly. Toto je ideálny čas pozrite sa, na ktoré aplikácie ste dostali povolenie Používate sociálne prihlásenie? Vykonajte tieto kroky na zabezpečenie svojich účtovAk používate službu sociálneho prihlásenia (napríklad Google alebo Facebook), môžete si myslieť, že je všetko v bezpečí. Nie je to tak - je čas sa pozrieť na slabé stránky sociálneho prihlásenia. Čítaj viac na účtoch SSO. Toto je obzvlášť dôležité na stránkach ako Facebook Ako spravovať svoje prihlasovacie údaje pre Facebook od tretích strán [Týždenné tipy na Facebooku]Koľkokrát ste povolili webovým stránkam tretích strán prístup k vášmu účtu Facebook? Takto môžete spravovať svoje nastavenia. Čítaj viac , ktorý ukladá a obrovské množstvo veľmi osobných informácií Ako stiahnuť celú históriu FacebookuV priebehu rokov zhromažďoval Facebook o vás veľa údajov. V tomto článku vám vysvetlíme, ako stiahnuť svoju históriu na Facebooku a čo pravdepodobne nájdete. Čítaj viac .
Myslíte si, že je čas odísť od jednotného prihlásenia? Aký je podľa vás najlepší spôsob prihlásenia? Boli ste týmto zneužívaním postihnutí? Dajte nám vedieť v komentároch nižšie!
Kredity obrázkov: Marc Bruxelle / Shutterstock
James je editorom nákupných príručiek a správ o hardvéri od spoločnosti MakeUseOf a spisovateľom na voľnej nohe. Popri technológiách sa zaujímajú aj o zdravie, cestovanie, hudbu a duševné zdravie. V odbore strojárstva z University of Surrey. Nájdete tiež písanie o chronických ochoreniach v PoTS Jots.
