Como milhões de aplicativos são vulneráveis a um único corte de segurança
Na conferência de segurança Black Hat Europa deste ano, dois pesquisadores da Universidade Chinesa de Hong Kong apresentou uma pesquisa que mostrou um exploit que afeta aplicativos do Android que poderia deixar mais de um bilhão de aplicativos instalados vulneráveis a ataques.
Conteúdo
O exploit depende de um ataque man-in-the-middle da implementação móvel do padrão de autorização OAuth 2.0. Isso soa muito técnico, mas o que isso realmente significa, e é o seu dados seguros?
O que é o OAuth?
OAuth é um padrão aberto utilizado por muitos sites e aplicativos para permitir que você faça o login para um aplicativo de terceiros ou site usando uma conta de um dos muitos provedores de OAuth. Alguns dos exemplos mais comuns e bem conhecidos são Google, Facebook e Twitter.3 Termos de segurança essenciais você precisa entender3 Termos de segurança essenciais você precisa entenderConfuso com criptografia? Perplexo com OAuth, ou petrificado por ransomware? Vamos escovar acima em alguns dos termos de segurança mais comumente usados, e exatamente o que eles significam.consulte Mais informação
O Sign-on único botão (SSO) permite que você conceda acesso a suas informações de conta. Quando você clica no botão Facebook, o aplicativo de terceiros ou website procura um token de acesso, concedendo-lhe acesso às suas informações Facebook.
Se esse símbolo não for encontrado, você será solicitado para permitir o acesso de terceiros à sua conta Facebook. Depois de ter autorizado este, o Facebook recebe uma mensagem do terceiro pedindo um token de acesso.
Facebook responde com um token, que concede o acesso de terceiros às informações que você especificou. Por exemplo, você concede acesso a suas informações básicas perfil e lista de amigos, mas não as suas fotos. O terceiro recebe o token e permite que você faça o login com suas credenciais do Facebook. Então, desde que o token não expira, ele terá acesso às informações que você autorizou.
Este parece ser um grande sistema. Você tem que lembrar menos senhas e obter o login e verificar as suas informações com uma conta que você já tem facilmente. Os SSO botões são ainda mais úteis no celular, onde a criação de novas senhas, onde autorizar uma nova conta pode ser demorado.
Video: Como remover apps desnecessários do Android
Qual é o problema?
O quadro OAuth mais recente - OAuth 2.0 - foi lançado em outubro de 2012, e não foi projetado para aplicações móveis. Isto levou a muitos desenvolvedores de aplicativos que terão de aplicar OAuth por conta própria, sem orientação sobre como isso deve ser feito de forma segura.
Enquanto OAuth em sites utiliza a comunicação direta entre o terceiro e os servidores do provedor de SSO, aplicativos móveis, não use este método de comunicação direta. Em vez disso, aplicativos móveis comunicar uns com os outros através do seu dispositivo.
Ao usar OAuth em um site, o Facebook oferece o token de acesso e autenticação de informações diretamente para os servidores de terceiros. Esta informação pode então ser validados antes de efetuar o usuário em ou acessar quaisquer dados pessoais.
Os pesquisadores descobriram que uma grande porcentagem de aplicativos do Android estavam faltando esta validação. Em vez disso servidores do Facebook enviar o token de acesso para o aplicativo Facebook. O token de acesso seria então entregue ao aplicativo de terceiros. O aplicativo de terceiros, então, permitir que você faça o login, sem verificar com os servidores do Facebook que as informações do usuário era legítima.
O invasor pode iniciar sessão como a si mesmos, desencadeando a solicitação de token OAuth. Uma vez que o Facebook tenha autorizado o token, eles poderiam inserir-se entre servidores do Facebook e o aplicativo do Facebook. O invasor pode então mudar o ID de usuário no token para a vítima. O nome de usuário é normalmente informações publicamente disponíveis também, então há muito poucas barreiras para o atacante. Uma vez que o ID de usuário foi alterado - mas a autorização ainda concedido - o aplicativo de terceiros fará o login na conta da vítima.
Este tipo de exploração é conhecido como um man-in-a-meio (mitm) ataque. Este é o lugar onde o atacante é capaz de interceptar e alterar dados, enquanto as duas partes acreditam que eles estão se comunicando diretamente com o outro.O que é um-The-Middle Man-no ataque? Segurança jargão explicadoO que é um-The-Middle Man-no ataque? Segurança jargão explicadoconsulte Mais informação
Como isso afeta você?
Se um atacante é capaz de enganar um aplicativo em acreditar que ele é você, então o hacker obtém acesso a todas as informações que você armazena nesse serviço. Os pesquisadores criaram a tabela mostrada abaixo, que lista algumas das informações que você pode expor em diferentes tipos de aplicativos.
Alguns tipos de informação são menos prejudicial do que outros. Você é menos provável de estar preocupado com expondo seu histórico de leitura de notícias de todos os seus planos de viagem, ou a capacidade enviar e receber mensagens privadas em seu nome. É um lembrete dos tipos de informações que confiam regularmente a terceiros - e as consequências do seu uso indevido.
Você deve se preocupar?
Os pesquisadores descobriram que 41,21% dos 600 aplicativos mais populares que suportam SSO no Google Play Store eram vulneráveis ao ataque MITM. Isso poderia deixar milhares de milhões de usuários ao redor do mundo expostas a este tipo de ataque. A equipe realizou suas pesquisas sobre Android, mas eles acreditam que ele pode ser replicado no iOS. Isso seria potencialmente deixar milhões de aplicativos sobre os dois maiores sistemas operacionais móveis vulneráveis a este ataque.
No momento da escrita, não houve declarações oficiais a partir da Internet Engineering Task Force (IETF), que desenvolveu o OAuth 2.0 Especificações. Os pesquisadores têm se recusou a nomear os aplicativos afetados, por isso você deve ter cuidado ao utilizar SSO em aplicativos móveis.
Video: APLICATIVOS QUE SALVAM (MUITO) A NOSSA VIDA
Há um forro de prata. Os pesquisadores já alertado Google e Facebook, e outros provedores de SSO da exploração. Em cima disso, eles estão trabalhando em conjunto com os desenvolvedores de terceiros afetadas para corrigir o problema.
O que você pode fazer agora?
Enquanto uma correção pode estar a caminho, existem muito aplicativos de afetados para ser atualizado. Esta é susceptível de levar algum tempo, então pode valer a pena não usar SSO para o ínterim. Em vez disso, quando se registar uma nova conta, certifique-se criar uma senha forte você não vai esquecer. Ou isso, ou usar um gerenciador de senhas para fazer o trabalho pesado para você.6 Dicas para criar uma senha inquebrável que você possa lembrar6 Dicas para criar uma senha inquebrável que você possa lembrarSe as senhas não são exclusivos e inquebrável, assim como você pode abrir a porta da frente e convide os ladrões para o almoço.consulte Mais informação
É uma boa prática para conduzir sua própria checkup de segurança de tempos em tempos. Google vai mesmo recompensá-lo no armazenamento em nuvem para a realização de seu checkup. Este é um momento ideal para confira o que os aplicativos que você tenha dado permissão para em suas contas de SSO. Isto é especialmente importante em um site como o Facebook, que armazena uma tremenda quantidade de informação muito pessoal.
Você acha que é hora de se afastar de Single Sign On? O que você acha que é o melhor método de login? Você foi afetado por esta façanha? Deixe-nos saber nos comentários abaixo!