Колико су милиони апликација рањиви на један сигурносни хацк

Реклама

На овогодишњој конференцији о безбедности Блацк Хат Еуропе, два истраживача са кинеског универзитета у Хонг Конгу представила је истраживање које је показало подвиг који утиче на Андроид апликације што би потенцијално могло оставити преко милијарду инсталираних апликација рањивим за напад.

Експлоатација се ослања на напад човека у средини мобилне имплементације ОАутх 2.0 ауторизацијског стандарда. То звучи врло технички, али шта то заправо значи и да ли су ваши подаци сигурни?

Шта је ОАутх?

ОАутх је отворени стандард који користе многе веб локације и апликације 3 суштинска сигурносна правила која морате разумјетиЗбуњени шифровањем? Збуњен од стране ОАутх-а или окамењен од стране Рансомвареа? Погледајмо неке од најчешће коришћених безбедносних појмова и тачно шта значе. Опширније да вам омогући да се пријавите у апликацију или веб локацију треће стране коришћењем налога једног од многих ОАутх провајдера. Неки од најчешћих и најпознатијих примера су Гоогле, Фацебоок и Твиттер.

Дугме са јединственом пријавом (ССО) омогућава вам да одобрите приступ подацима вашег налога. Када кликнете на дугме Фацебоок, апликација или веб локација треће стране тражи приступни жетон и омогућава јој приступ вашим подацима на Фацебооку.

Ако овај жетон није пронађен, од вас ће се тражити да омогућите трећој страни приступ вашем Фацебоок налогу. Након што сте то одобрили, Фацебоок добија поруку треће стране са захтевом за приступање.

Фацебоок одговара токеном, омогућавајући трећој страни приступ информацијама које сте навели. На пример, дозвољавате приступ основним подацима о профилу и листи пријатеља, али не и вашим фотографијама. Трећа страна прима токен и омогућава вам да се пријавите помоћу својих Фацебоок налога. Затим, све док токен не истекне, имат ће приступ информацијама које сте овластили.

Ово изгледа као сјајан систем. Морате запамтити мање лозинки и лако се пријавити и потврдити своје податке помоћу рачуна који већ имате. ССО тастери су још кориснији на мобилним уређајима где се креирају нове лозинке, где ауторизација новог налога може бити много времена.

У чему је проблем?

Најновији оквир ОАутх - ОАутх 2.0 - објављен је у октобру 2012. године и није дизајниран за мобилне апликације. То је довело до тога да су многи програмери апликација морали самостално имплементирати ОАутх, без упутства о томе како то треба да ради на сигуран начин.

Док ОАутх на веб локацијама користи директну комуникацију између сервера треће стране и ССО добављача, мобилне апликације не користе ову методу директне комуникације. Уместо тога, мобилне апликације међусобно комуницирају путем свог уређаја.

Када користите ОАутх на веб локацији, Фацебоок доставља приступне токене приступа и информације за аутентификацију директно на треће сервере. Те се информације тада могу потврдити прије него што се корисник пријави или приступи било којим личним подацима.

Истраживачи су открили да великом проценту Андроид апликација недостаје та провера. Уместо тога, сервери Фацебоока шаљу приступни токен Фацебоок апликацији. Ознака приступа тада би се испоручила апликацији треће стране. Апликација треће стране би вам тада омогућила да се пријавите, без проверавања са Фацебоок сервера да ли су информације о корисницима легитимне.

Нападач се може пријавити као сами, покрећући захтјев за токен ОАутх. Једном када Фацебоок одобри токен, они би могли да се убаце између Фацебоок-ових сервера и Фацебоок апликације. Нападач би тада могао да промени кориснички ИД на жетону у жртвину. Корисничко име је обично и јавно доступно, тако да постоји врло мало препрека за нападача. Након што се промени ИД корисника - али одобрење је још одобрено - апликација треће стране пријавиће се на рачун жртве.

Ова врста експлоатације позната је као напад човека у средини (МитМ) Шта је напад човека у средини? Објашњен сигурносни жаргонАко сте чули за нападе "човека у средини", али нисте баш сигурни шта то значи, ово је чланак за вас. Опширније . Овде нападач може пресрести и изменити податке, док две стране верују да комуницирају директно међусобно.

Како то утиче на вас?

Ако нападач може преварити апликацију да верује у то да сте ви, онда хакер добија приступ свим информацијама које чувате у тој услузи. Истраживачи су створили табелу која је приказана испод и која приказује неке од информација које можете излагати о различитим врстама апликација.

Неке врсте информација су мање штетне од других. Мање је вероватно да ћете бити забринути због откривања историје читања вести од свих ваших планова путовања или могућности слања и примања приватних порука на ваше име. То је отрежњујуће подсећање на врсте информација које редовно поверујемо трећим странама - и последице њене злоупотребе.

Да ли би требало да бринеш?

Истраживачи су открили да је 41.21% од 600 најпопуларнијих апликација које подржавају ССО у Гоогле Плаи Стореу рањиво на МитМ напад. То би потенцијално могло оставити милијарде корисника широм света изложених овој врсти напада. Тим је спровео своје истраживање на Андроиду, али верују да се оно може поновити на иОС-у. Ово би потенцијално оставило милионе апликација на два највећа мобилна оперативна система рањивим за овај напад.

У време писања, није било званичних изјава интернетске инжењерске радне групе (ИЕТФ) која је развила ОАутх 2.0 спецификације. Истраживачи су одбили да именују погођене апликације, тако да треба бити опрезан када користите ССО на мобилним апликацијама.

Постоји сребрна облога. Истраживачи су већ упозорили Гоогле и Фацебоок, као и друге пружатеље услуга коришћења услуга. Поврх тога, они раде заједно са погођеним програмерима трећих страна да реше проблем.

Шта сада можете учинити?

Иако је поправка можда на путу, постоје много дотичних апликација које треба ажурирати. То ће вероватно потрајати неко време, па би можда било вредно у међувремену не користити ССО. Уместо тога, када се региструјете за нови налог, проверите створите јаку лозинку 6 савета за прављење нераскидиве лозинке које се можете сјетитиАко ваше лозинке нису јединствене и нераскидиве, можете отворити улазна врата и позвати пљачкаше на ручак. Опширније нећете заборавити Или то или користите лозинку Како менаџери лозинки чувају ваше лозинкеТешко је упамтити и лозинке које је тешко пробити. Желите да будете сигурни? Потребан вам је менаџер лозинки. Ево како раде и како вас чувају. Опширније да урадим тешка дизања за вас.

То је добра пракса спроведите сопствени безбедносни преглед Заштитите се годишњом провјером сигурности и приватностиСкоро смо два месеца до нове године, али још увек је времена за доношење позитивне одлуке. Заборавите пити мање кофеина - говоримо о предузимању корака за заштиту безбедности и приватности на мрежи. Опширније с времена на време. Гоогле ће чак наградиће вас у складишту у облаку Овај 5-минутни Гоогле Цхецкуп добит ће вам 2 ГБ слободног простораАко вам треба пет минута да прођете кроз овај безбедносни преглед, Гоогле ће вам дати 2 ГБ слободног простора на Гоогле диску. Опширније за вршење њиховог прегледа. Ово је идеално време за погледајте на које апликације сте дозволили Користите Социал Логин? Подузмите ове кораке да осигурате своје рачунеАко користите услугу за пријаву на друштвене мреже (као што је Гоогле или Фацебоок), можда мислите да је све сигурно. Није тако - време је да се осврнемо на слабости друштвених података. Опширније на вашим ССО рачунима. Ово је посебно је важно на веб локацији попут Фацебоока Како управљати Фацебоок пријавама трећих страна [Седмични Фацебоок савети]Колико пута сте дозволили да веб локација треће стране има приступ вашем Фацебоок налогу? Ево како можете управљати својим подешавањима. Опширније , која чува огромна количина веома личних података Како преузети своју читаву Фацебоок историјуТоком година Фацебоок је прикупио пуно података о вама. У овом чланку објашњавамо како преузети своју историју на Фацебооку и шта ћете вероватно скривати. Опширније .

Мислите ли да је вријеме да се удаљите од Сингле Сигн Он-а? Шта мислите шта је најбоља метода за пријаву? Да ли сте били под утицајем овог подвига? Јавите нам у коментарима испод!

Кредити за слике: Марц Брукелле / Схуттерстоцк