剑客
关注科技互联网

OAuth 2.0 黑客公开 10 亿移动程序帐户劫持

OAuth 2.0 黑客公开 10 亿移动程序帐户劫持

第三方应用程序允许通过 Facebook 和谷歌的单点登录和支持 OAuth 2.0 协议,接触到帐户劫持。

三个中文大学香港研究人员提出了在黑帽子欧盟上周一份称为”签名入 10 亿移动 LApp 帐目不费吹灰之力的 OAuth 2.0″。本文介绍了利用差 OAuth 2.0 实现并置于危险之中超过 10 亿的应用程序的攻击。

研究者调查了 600 顶尖美国和中国移动应用程序使用 OAuth 2.0 Api 从 Facebook、 Google 和新浪 — — 的经营在中国的微博 — — 和对第三方应用程序支持 SSO。研究人员发现,41.2%的他们测试的应用程序容易受到他们的攻击,包括流行的约会、 旅游、 购物、 酒店预订、 财务、 聊天、 音乐和消息的应用程序。没有一个应用程序被命名为在文件中,但有些已下载有数以百计的几百万倍和可以利用的东西从免费电话呼叫到虚假购货。

研究人员说,他们测试的应用程序已经被下载超过 2.4 亿次,在聚合,意义超过 10 亿是易受伤害。

研究人员荣海杨、 张鉴泉刘翼和天宇刘写道”签署后到受害者的易受伤害的移动应用程序帐户使用我们利用此漏洞,攻击者会有,在许多情况下,受害人的敏感和私人信息 (聊天记录、 照片、 联系人列表) 的后端服务器的易受伤害的移动应用程序,由承办的完全访问权限”。”对于一些这些移动应用程序,与受害者的帐户相关联的在线货币 / 服务学分也是在攻击者的处置。

研究人员注意到 OAuth 2.0 不定义安全要求,也不及其后端如何应该安全地与第三方应用程序进行交互。这也引起了一些自定义的 API 扩展支持 SSO。

“不幸的是,隐式安全假设和业务要求的这种自酿的改编 / Api 往往不是清楚地记录或由第三方移动应用程序开发人员,充分了解”研究人员写道。”更糟的是,那里也是缺乏安全集中 SSO API 使用指南的第三方应用程序开发。”

这次袭击不需要交互与受害人或他们的设备。如本文中所述,它需要攻击者拥有的 SSL 的人在中间代理,为攻击者的设备设置。该代理监视入站和出站通信量从他们的设备。与他们的设备易受伤害第三方应用程序,攻击者会然后登录,通过 OAuth 2.0,用他们自己的凭据。该代理将捕获的出站交换和攻击者然后可以替代他们的用户 ID 与受害者 (这会从公共信息获得)。

“由于第三方后端服务器直接使用用户的身份证明从其客户端应用程序,以确定没有进一步验证的应用程序用户返回,攻击者可以因此成功地登录到应用程序作为受害者和在大多数情况下已全面进入受害者的敏感信息由第三方应用程序的后端服务器,主办”研究人员补充道,”此漏洞的根本原因是一种常见但错误地信任身份验证收到的由 3 路方应用程序的后端服务器从它自己客户端的移动应用程序,反过来,可能依赖篡改从客户端移动应用程序的国内流离失所者获得的信息。”

Facebook 减轻这种攻击的程度,因为它已支持证书寄自 2014 年 5 月以来,并不会因此接受篡改的消息。但出了毛病有;研究人员了解到,为向后兼容性,Facebook 标识使用 public 用户 ID 一个移动应用程序的早期采用者,因此,如果用户已经签订通过 OAuth app 前 2014 年 5 月,他们就仍暴露在攻击。

本文建议身份提供程序,如 Facebook、 Google 和新浪提高对于开发人员来说,他们的安全建议和信任应依靠仅在身份提供程序的服务器上,而不是任何由客户端应用程序签名。此外,研究人员建议身份提供程序发行私人标识符,而不是依赖于全局标识符和身份提供者应该也坡道安全测试的应用程序,包括 SSO 通过 OAuth 2.0 和 OpenID 连接的协议。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址