Διαφήμιση
Στη φετινή διάσκεψη ασφάλειας Black Hat Europe, δύο ερευνητές από το Κινεζικό Πανεπιστήμιο του Χονγκ Κονγκ παρουσίασε έρευνα που έδειξε ότι εκμεταλλεύεται εφαρμογές Android που θα μπορούσαν ενδεχομένως να αφήσουν πάνω από ένα δισεκατομμύριο εγκατεστημένες εφαρμογές ευάλωτες σε επίθεση.
Η εκμετάλλευση βασίζεται σε μια επιθετική επίθεση από την κινητή εφαρμογή του προτύπου εξουσιοδότησης OAuth 2.0. Αυτό ακούγεται πολύ τεχνικό, αλλά τι σημαίνει στην πραγματικότητα και είναι ασφαλή τα δεδομένα σας;
Τι είναι το OAuth;
Το OAuth είναι ένα ανοικτό πρότυπο που χρησιμοποιείται από πολλούς ιστότοπους και εφαρμογές 3 Βασικοί όροι ασφάλειας που πρέπει να καταλάβετεΜπερδευτήκατε με κρυπτογράφηση; Παραμορφωμένο από το OAuth, ή απολιθωμένο από το Ransomware; Ας ρίξουμε μια ματιά σε μερικούς από τους συνηθέστερα χρησιμοποιούμενους όρους ασφάλειας και ακριβώς τι σημαίνουν. Διαβάστε περισσότερα για να μπορέσετε να συνδεθείτε σε μια εφαρμογή ή ιστότοπο τρίτου μέρους χρησιμοποιώντας ένα λογαριασμό από έναν από τους πολλούς παρόχους OAuth. Μερικά από τα πιο κοινά και γνωστά παραδείγματα είναι το Google, το Facebook και το Twitter.
Το κουμπί Single Sign On (SSO) σας δίνει τη δυνατότητα να επιτρέψετε την πρόσβαση στις πληροφορίες του λογαριασμού σας. Όταν κάνετε κλικ στο κουμπί Facebook, η εφαρμογή ή ο ιστότοπος τρίτου μέρους αναζητούν ένα διακριτικό πρόσβασης, παρέχοντάς του πρόσβαση στις πληροφορίες σας στο Facebook.
Αν αυτό το διακριτικό δεν βρεθεί, θα σας ζητηθεί να επιτρέψετε την πρόσβαση τρίτου στον λογαριασμό σας στο Facebook. Μόλις το εξουσιοδοτήσετε, το Facebook λαμβάνει ένα μήνυμα από το τρίτο μέρος που ζητά ένα αναγνωριστικό πρόσβασης.
Το Facebook αποκρίνεται με ένα διακριτικό, παρέχοντας την πρόσβαση τρίτων στις πληροφορίες που έχετε ορίσει. Για παράδειγμα, παρέχετε πρόσβαση στα βασικά στοιχεία του προφίλ σας και στη λίστα φίλων, αλλά όχι στις φωτογραφίες σας. Ο τρίτος λαμβάνει το διακριτικό και σας επιτρέπει να συνδεθείτε με τα διαπιστευτήριά σας στο Facebook. Στη συνέχεια, εφόσον δεν λήξει το διακριτικό, θα έχει πρόσβαση στις πληροφορίες που έχετε εξουσιοδοτήσει.
Αυτό μοιάζει με ένα μεγάλο σύστημα. Πρέπει να θυμάστε λιγότερους κωδικούς πρόσβασης και να συνδεθείτε εύκολα και να επαληθεύσετε τις πληροφορίες σας με έναν λογαριασμό που έχετε ήδη. Τα κουμπιά SSO είναι ακόμα πιο χρήσιμα στο κινητό όταν δημιουργούν νέους κωδικούς πρόσβασης, όπου η εξουσιοδότηση ενός νέου λογαριασμού μπορεί να είναι χρονοβόρα.
Ποιο είναι το πρόβλημα?
Το πιο πρόσφατο πλαίσιο OAuth - OAuth 2.0 - κυκλοφόρησε τον Οκτώβριο του 2012 και δεν σχεδιάστηκε για εφαρμογές για κινητά. Αυτό έχει οδηγήσει σε πολλούς προγραμματιστές εφαρμογών να εφαρμόζουν το OAuth μόνοι τους, χωρίς οδηγίες για το πώς πρέπει να γίνει με ασφάλεια.
Ενώ το OAuth σε ιστότοπους χρησιμοποιεί άμεση επικοινωνία μεταξύ των διακομιστών του τρίτου μέρους και του παροχέα SSO, οι εφαρμογές για κινητά δεν χρησιμοποιούν αυτή τη μέθοδο άμεσης επικοινωνίας. Αντίθετα, οι εφαρμογές για κινητά επικοινωνούν μεταξύ τους μέσω της συσκευής σας.
Όταν χρησιμοποιείτε το OAuth σε έναν ιστότοπο, το Facebook παραδίδει τα διακριτικά πρόσβασης και τις πληροφορίες ελέγχου ταυτότητας απευθείας στους διακομιστές τρίτων. Αυτές οι πληροφορίες μπορούν στη συνέχεια να επικυρωθούν πριν από την καταγραφή του χρήστη ή την πρόσβαση σε οποιαδήποτε προσωπικά δεδομένα.
Οι ερευνητές διαπίστωσαν ότι ένα μεγάλο ποσοστό Android εφαρμογών έλειπε αυτή την επικύρωση. Αντ 'αυτού, οι διακομιστές του Facebook στέλνουν το διακριτικό πρόσβασης στην εφαρμογή Facebook. Το διακριτικό πρόσβασης στη συνέχεια θα παραδοθεί στην εφαρμογή τρίτου μέρους. Η εφαρμογή τρίτου μέρους θα σας επιτρέψει να συνδεθείτε, χωρίς να επαληθεύσετε με τους διακομιστές του Facebook ότι οι πληροφορίες χρήστη ήταν νόμιμες.
Ο εισβολέας θα μπορούσε να συνδεθεί με τον εαυτό του, ενεργοποιώντας το αίτημα συμβολοσειράς OAuth. Αφού το Facebook έχει εξουσιοδοτήσει το διακριτικό, θα μπορούσε να εισαχθεί μεταξύ των διακομιστών του Facebook και της εφαρμογής Facebook. Ο επιτιθέμενος θα μπορούσε τότε να αλλάξει το αναγνωριστικό χρήστη στο διακριτικό σήμα στο θύμα. Το όνομα χρήστη είναι συνήθως διαθέσιμες και στο κοινό, οπότε υπάρχουν πολύ λίγοι φραγμοί για τον εισβολέα. Μόλις αλλάξει το αναγνωριστικό χρήστη - αλλά η άδεια εξακολουθεί να χορηγείται - η εφαρμογή τρίτου μέρους θα συνδεθεί με τον λογαριασμό του θύματος.
Αυτός ο τύπος εκμετάλλευσης είναι γνωστός ως a η επίθεση στον άνθρωπο στη μέση (MitM) Τι είναι η επίθεση του ανθρώπου στη μέση; Ασφάλεια Jargon ΕπεξήγησηΕάν έχετε ακούσει τις επιθέσεις «άνθρωπος-στη-μέση» αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για σας. Διαβάστε περισσότερα . Αυτό είναι όπου ο επιτιθέμενος είναι σε θέση να παρακολουθεί και να αλλάζει δεδομένα, ενώ τα δύο μέρη πιστεύουν ότι επικοινωνούν άμεσα μεταξύ τους.
Πώς αυτό σας επηρεάζει;
Εάν ένας εισβολέας είναι σε θέση να ξεγελάσει μια εφαρμογή για να πιστέψει ότι είστε εσείς, τότε ο χάκερ αποκτά πρόσβαση σε όλες τις πληροφορίες που αποθηκεύετε σε αυτήν την υπηρεσία. Οι ερευνητές δημιούργησαν τον παρακάτω πίνακα ο οποίος αναφέρει ορισμένες από τις πληροφορίες που μπορείτε να εκθέσετε σε διαφορετικούς τύπους εφαρμογών.
Ορισμένα είδη πληροφοριών είναι λιγότερο επιβλαβή από άλλα. Είναι λιγότερο πιθανό να ανησυχείτε για την έκθεση του ιστορικού ανάγνωσης ειδήσεών σας από ό, τι όλα τα ταξιδιωτικά σας σχέδια ή τη δυνατότητα αποστολής και λήψης ιδιωτικών μηνυμάτων στο όνομά σας. Είναι μια θυελλώδης υπενθύμιση των ειδών πληροφοριών που αναθέτουμε τακτικά σε τρίτους - και των συνεπειών της κατάχρησης.
Αν ανησυχείς;
Οι ερευνητές διαπίστωσαν ότι το 41,21% των 600 δημοφιλέστερων εφαρμογών που υποστηρίζουν SSO στο Google Play Store ήταν ευάλωτες στην επίθεση MitM. Αυτό θα μπορούσε ενδεχομένως να αφήσει δισεκατομμύρια χρήστες σε όλο τον κόσμο που εκτίθενται σε αυτό το είδος επίθεσης. Η ομάδα διεξήγαγε την έρευνά της στο Android, αλλά πιστεύει ότι μπορεί να αναπαραχθεί στο iOS. Αυτό θα αφήσει δυνητικά εκατομμύρια εφαρμογές στα δύο μεγαλύτερα λειτουργικά συστήματα κινητών τηλεφώνων ευάλωτα σε αυτήν την επίθεση.
Κατά το χρόνο της γραφής, δεν έχουν υπάρξει επίσημες δηλώσεις από την Ομάδα Μηχανικών Διαδικτύου (IETF) που ανέπτυξε τις Προδιαγραφές OAuth 2.0. Οι ερευνητές έχουν αρνηθεί να ονομάσουν τις εφαρμογές που επηρεάζονται, οπότε θα πρέπει να είστε προσεκτικοί όταν χρησιμοποιείτε SSO σε εφαρμογές για κινητά.
Υπάρχει μια ασημένια επένδυση. Οι ερευνητές έχουν ήδη ειδοποιήσει το Google και το Facebook, καθώς και άλλους παρόχους SSO της εκμετάλλευσης. Πέρα από αυτό, εργάζονται παράλληλα με τους σχετιζόμενους τρίτους προγραμματιστές για να διορθώσουν το πρόβλημα.
Τι μπορείτε να κάνετε τώρα;
Ενώ μια λύση μπορεί να είναι στο δρόμο της, υπάρχουν πολύ των εφαρμογών που επηρεάζονται για ενημέρωση. Αυτό πιθανόν να χρειαστεί κάποιο χρονικό διάστημα, οπότε ίσως αξίζει να μην χρησιμοποιείτε SSO εν τω μεταξύ. Αντ 'αυτού, όταν εγγραφείτε για ένα νέο λογαριασμό, βεβαιωθείτε ότι είστε δημιουργήστε έναν ισχυρό κωδικό πρόσβασης 6 Συμβουλές για τη δημιουργία ενός Unbreakable Password που μπορείτε να θυμάστεΕάν οι κωδικοί πρόσβασης δεν είναι μοναδικοί και άθλιοι, ίσως ανοίξετε την πόρτα και προσκαλέστε τους ληστές για μεσημεριανό γεύμα. Διαβάστε περισσότερα δεν θα ξεχάσετε. Είτε αυτό είτε χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης Πώς Διαχειριστές κωδικών πρόσβασης Κρατήστε τους κωδικούς σας ασφαλήΟι κωδικοί που είναι δύσκολο να σπάσουν είναι επίσης δύσκολο να θυμηθούν. Θέλετε να είστε ασφαλείς; Χρειάζεστε έναν διαχειριστή κωδικών πρόσβασης. Δείτε πώς λειτουργούν και πώς σας κρατούν ασφαλή. Διαβάστε περισσότερα για να κάνετε τη βαριά ανύψωση για σας.
Είναι καλή πρακτική πραγματοποιήστε το δικό σας έλεγχο ασφαλείας Προστατεύστε τον εαυτό σας με μια ετήσια ασφάλεια και έλεγχος ιδιωτικότηταςΕίμαστε σχεδόν δύο μήνες μετά τη νέα χρονιά, αλλά υπάρχει ακόμα χρόνος για μια θετική λύση. Ξεχάστε να καταναλώσετε λιγότερη καφεΐνη - μιλάμε για τη λήψη μέτρων για την προστασία της ασφάλειας και της ιδιωτικής ζωής στο διαδίκτυο. Διαβάστε περισσότερα πότε-πότε. Η Google θα είναι ακόμη σας ανταμείβουν στην αποθήκευση σύννεφο Αυτό το Google Checkup 5 λεπτών θα σας δώσει 2 GB ελεύθερου χώρουΑν περάσετε πέντε λεπτά για να περάσετε από αυτόν τον έλεγχο ασφαλείας, η Google θα σας δώσει 2 GB ελεύθερου χώρου στο Google Drive. Διαβάστε περισσότερα για την εκτέλεση του ελέγχου τους. Αυτή είναι η ιδανική στιγμή για να ελέγξτε τι εφαρμογές έχετε δώσει άδεια Χρησιμοποιώντας την Κοινωνική Σύνδεση; Ακολουθήστε αυτά τα βήματα για να εξασφαλίσετε τους λογαριασμούς σαςΑν χρησιμοποιείτε μια υπηρεσία κοινωνικής σύνδεσης (όπως Google ή Facebook) τότε ίσως να νομίζετε ότι όλα είναι ασφαλή. Δεν είναι έτσι - ήρθε η ώρα να ρίξετε μια ματιά στις αδυναμίες των κοινωνικών συνδέσεων. Διαβάστε περισσότερα στους λογαριασμούς SSO σας. Αυτό είναι ιδιαίτερα σημαντικό σε μια τοποθεσία όπως το Facebook Πώς να διαχειριστείτε τις συνδέσεις σας στο Facebook τρίτου μέρους [Weekly Facebook Tips]Πόσες φορές έχετε επιτρέψει σε έναν ιστότοπο τρίτου μέρους να έχει πρόσβαση στον λογαριασμό σας στο Facebook; Δείτε πώς μπορείτε να διαχειριστείτε τις ρυθμίσεις σας. Διαβάστε περισσότερα , η οποία αποθηκεύει ένα τεράστιο ποσό πολύ προσωπικών πληροφοριών Πώς να κατεβάσετε ολόκληρο το ιστορικό σας στο FacebookΜε τα χρόνια το Facebook έχει συλλέξει πολλά στοιχεία για εσάς. Σε αυτό το άρθρο, εξηγούμε πώς μπορείτε να κατεβάσετε το ιστορικό σας στο Facebook και ποια είναι πιθανό να βρείτε στο εσωτερικό. Διαβάστε περισσότερα .
Πιστεύετε ότι ήρθε η ώρα να απομακρυνθούμε από το Single Sign On; Τι πιστεύετε ότι είναι η καλύτερη μέθοδος σύνδεσης; Έχετε επηρεαστεί από αυτήν την εκμετάλλευση; Ενημερώστε μας στα σχόλια παρακάτω!
Συντελεστές εικόνας: Marc Bruxelle / Shutterstock
Ο James είναι ο Οδηγός Αγοράς του MakeUseOf και ο Ειδικός του Εφαρμογών Ειδήσεων και ο ανεξάρτητος συγγραφέας με πάθος να κάνει την τεχνολογία προσβάσιμη και ασφαλής για όλους. Παράλληλα με την τεχνολογία, ενδιαφέρονται επίσης για την υγεία, τα ταξίδια, τη μουσική και την ψυχική υγεία. Μεταπτυχιακό στη Μηχανική από το Πανεπιστήμιο του Surrey. Μπορεί επίσης να βρεθεί η γραφή για χρόνιες ασθένειες στο PoTS Jots.
