Skelbimas
Šių metų „Black Hat Europe“ saugumo konferencijoje du tyrėjai iš Kinijos Honkongo universiteto pristatė tyrimus, kurie parodė, kad išnaudojimas turi įtakos „Android“ programoms dėl kurių daugiau nei vienas milijardas įdiegtų programų gali būti pažeidžiamos.
Išnaudojimas priklauso nuo „OAuth 2.0“ įgaliojimo standarto mobiliojo ryšio įdiegimo „viduryje žmogaus“ puolimo. Tai skamba labai techniškai, bet ką tai iš tikrųjų reiškia ir ar jūsų duomenys yra saugūs?
Kas yra „OAuth“?
„OAuth“ yra atviras standartas, naudojamas daugelyje svetainių ir programų 3 pagrindinės saugumo sąlygos, kurias turite suprastiSumišote dėl šifravimo? Sutrikęs „OAuth“ ar sutramdytas „Ransomware“? Pažvelkime į dažniausiai naudojamus saugos terminus ir tiksliai, ką jie reiškia. Skaityti daugiau kad galėtumėte prisijungti prie trečiosios šalies programos ar svetainės naudodamiesi vieno iš daugelio „OAuth“ teikėjų paskyra. Kai kurie iš labiausiai paplitusių ir žinomų pavyzdžių yra „Google“, „Facebook“ ir „Twitter“.
Vienkartinio prisijungimo (SSO) mygtukas suteikia jums prieigą prie savo sąskaitos informacijos. Kai spustelite „Facebook“ mygtuką, trečiosios šalies programa ar svetainė ieško prieigos prieigos rakto, suteikdami jam prieigą prie jūsų „Facebook“ informacijos.
Jei šio prieigos rakto nerandate, būsite paprašyti leisti trečiosioms šalims pasiekti jūsų „Facebook“ paskyrą. Kai tai patvirtinate, „Facebook“ gauna pranešimą iš trečiosios šalies, kuriame prašoma suteikti prieigos prieigos raktą.
„Facebook“ reaguoja su prieigos raktu, suteikiant trečiosioms šalims prieigą prie jūsų nurodytos informacijos. Pvz., Jūs suteikiate prieigą prie pagrindinės profilio informacijos ir draugų sąrašo, bet ne prie savo nuotraukų. Trečioji šalis gauna raktą ir leidžia prisijungti naudojant „Facebook“ kredencialus. Tada, kol galiojimo laikas nesibaigs, jis turės prieigą prie jūsų įgaliotos informacijos.
Tai atrodo puiki sistema. Turite atsiminti mažiau slaptažodžių ir lengvai prisijungti ir patvirtinti informaciją naudodami jau turimą sąskaitą. SSO mygtukai dar naudingesni mobiliesiems kuriant naujus slaptažodžius, kur naujos paskyros autorizavimas gali užimti daug laiko.
Kokia problema?
Naujausia „OAuth“ sistema - „OAuth 2.0“ - buvo išleista 2012 m. Spalio mėn. Ir nebuvo sukurta programoms mobiliesiems. Dėl to daugelis programų kūrėjų turėjo savarankiškai įdiegti „OAuth“ be nurodymų, kaip tai daryti saugiai.
Nors „OAuth“ svetainėse naudoja tiesioginį ryšį tarp trečiosios šalies ir SSO teikėjo serverių, programos mobiliesiems nenaudoja šio tiesioginio ryšio metodo. Vietoj to, programos mobiliesiems palaiko ryšį per jūsų įrenginį.
Naudodamas „OAuth“ svetainėje, „Facebook“ prieigos prieigos raktą ir autentifikacijos informaciją perduoda tiesiai į trečiųjų šalių serverius. Ši informacija gali būti patikrinta prieš prisijungiant prie vartotojo ar prieinant prie jo asmeninių duomenų.
Tyrėjai nustatė, kad dideliam daliai „Android“ programų trūko šio patvirtinimo. „Facebook“ serveriai vietoj „Facebook“ programos siunčia prieigos prieigos raktą. Tada prieigos prieigos raktas bus perduotas trečiosios šalies programai. Tada trečiosios šalies programa leis jums prisijungti, nepatikrinę „Facebook“ serverių, ar vartotojo informacija yra teisėta.
Užpuolikas galėjo prisijungti kaip pats, suaktyvindamas „OAuth“ prieigos rakto užklausą. Kai „Facebook“ patvirtins prieigos raktą, jie galės įsikurti tarp „Facebook“ serverių ir „Facebook“ programos. Tada užpuolikas gali pakeisti prieigos rakto vartotojo ID į aukos ID. Vartotojo vardas taip pat paprastai yra viešai prieinama informacija, todėl užpuolikui yra labai mažai kliūčių. Pakeitus vartotojo ID, bet autorizacija vis tiek suteikta, trečiosios šalies programa prisijungs prie aukos paskyros.
Šis išnaudojimo būdas yra žinomas kaip: „Žmogaus viduryje“ (MitM) ataka Kas yra vidurio puolėjas? Saugumo žargonu paaiškintaJei girdėjote apie „vidurio žmogaus“ išpuolius, bet nesate tikri, ką tai reiškia, šis straipsnis skirtas jums. Skaityti daugiau . Čia užpuolikas gali perimti ir pakeisti duomenis, o abi šalys mano, kad jos tiesiogiai bendrauja viena su kita.
Kaip tai veikia jus?
Jei užpuolikas sugeba apgauti programą manydamas, kad jis esate jūs, įsilaužėlis gauna prieigą prie visos informacijos, kurią saugote toje tarnyboje. Tyrėjai sukūrė žemiau pateiktą lentelę, kurioje pateikiama tam tikra informacija, kurią galite atskleisti įvairių tipų programose.
Kai kurios informacijos rūšys daro mažiau žalos nei kitos. Mažiau tikėtina, kad nerimaujate dėl savo naujienų skaitymo istorijos atskleidimo nei visi kelionių planai arba galimybė siųsti ir gauti asmenines žinutes jūsų vardu. Tai blaivus priminimas apie informacijos, kurią mes reguliariai patikime trečiosioms šalims, rūšis ir netinkamo jos naudojimo pasekmes.
Ar turėtumėte jaudintis?
Tyrėjai nustatė, kad 41,21% iš 600 populiariausių programų, palaikančių SSO „Google Play“ parduotuvėje, buvo pažeidžiamos „MitM“ atakos. Tai gali milijardus vartotojų visame pasaulyje paveikti tokio tipo išpuolius. Komanda tyrė „Android“, tačiau jie mano, kad tai galima pakartoti „iOS“. Dėl šios priežasties milijonai programų dviejose didžiausiose mobiliųjų operacinių sistemų programose gali būti pažeidžiamos šios atakos.
Rašymo metu interneto inžinerijos darbo grupė (IETF), sukūrusi „OAuth 2.0“ specifikacijas, neturėjo oficialių pareiškimų. Tyrėjai atsisakė įvardyti paveiktas programas, todėl turėtumėte būti atsargūs naudodami SSO programose mobiliesiems.
Yra sidabrinis pamušalas. Tyrėjai jau perspėjo „Google“ ir „Facebook“ bei kitus SSO teikėjus apie išnaudojimą. Be to, jie dirba kartu su paveiktais trečiųjų šalių kūrėjais, norėdami išspręsti problemą.
Ką tu gali padaryti dabar?
Nors taisymas gali būti pakeistas, yra daug paveiktų programų, kurias reikia atnaujinti. Greičiausiai tai užtruks šiek tiek laiko, todėl gali būti verta tuo metu nenaudoti SSO. Užuot registravęsi į naują sąskaitą, įsitikinkite, kad jūs susikurti stiprų slaptažodį 6 patarimai, kaip sukurti nenutrūkstamą slaptažodį, kurį galėtumėte atsimintiJei slaptažodžiai nėra unikalūs ir nesulaužomi, galite atidaryti priekines duris ir pakviesti plėšikus pietums. Skaityti daugiau nepamiršite. Tiek to, tiek to naudokitės slaptažodžių tvarkytuve Kaip slaptažodžių valdytojai saugo jūsų slaptažodžiusTaip pat sunku įsiminti slaptažodžius. Nori būti saugus? Jums reikia slaptažodžio tvarkyklės. Štai kaip jie dirba ir kaip saugo jus. Skaityti daugiau padaryti tau sunkų kėlimą.
Tai gera praktika patys atlikite saugumo patikrinimą Apsaugokite save atlikdami kasmetinę saugos ir privatumo patikrąNauji metai yra beveik du mėnesiai, tačiau dar yra laiko priimti teigiamą sprendimą. Pamirškite gerti mažiau kofeino - mes kalbame apie veiksmus, skirtus apsaugoti internetinį saugumą ir privatumą. Skaityti daugiau laikas nuo laiko. „Google“ netgi atlygins saugykloje debesyje Šis 5 minučių „Google“ patikrinimas suteiks jums 2 GB laisvos vietosJei užtruksite penkias minutes atlikdami saugos patikrinimą, „Google“ suteiks jums 2 GB laisvos vietos „Google“ diske. Skaityti daugiau už jų patikrinimą. Tai yra idealus laikas patikrinkite, kurioms programoms suteikėte leidimą Naudojate socialinį prisijungimą? Atlikite šiuos veiksmus, kad apsaugotumėte savo paskyrasJei naudojate socialinio prisijungimo paslaugą (pvz., „Google“ ar „Facebook“), tuomet galite pamanyti, kad viskas yra saugu. Ne taip - laikas pažvelgti į socialinių prisijungimų silpnybes. Skaityti daugiau jūsų SSO sąskaitose. Tai yra ypač svarbu tokioje svetainėje kaip „Facebook“ Kaip valdyti trečiųjų šalių „Facebook“ prisijungimus [savaitiniai „Facebook“ patarimai]Kiek kartų leidote trečiųjų šalių svetainei pasiekti jūsų „Facebook“ paskyrą? Štai kaip galite valdyti savo nustatymus. Skaityti daugiau , kuriame saugomos a milžiniškas labai asmeniškos informacijos kiekis Kaip atsisiųsti visą „Facebook“ istorijąPer daugelį metų „Facebook“ surinko daug duomenų apie jus. Šiame straipsnyje mes paaiškiname, kaip atsisiųsti „Facebook“ istoriją ir ką jūs galite rasti. Skaityti daugiau .
Ar manote, kad laikas atsisakyti vienkartinio prisijungimo? Kaip manote, koks yra geriausias prisijungimo būdas? Ar jus paveikė šis išnaudojimas? Praneškite mums toliau pateiktuose komentaruose!
Vaizdo kreditai: Marc Bruxelle / Shutterstock
Jamesas yra „MakeUseOf“ pirkimo vadovų ir techninės įrangos naujienų redaktorius ir laisvai samdomas rašytojas, mėgstantis padaryti technologijas prieinamas ir saugias visiems. Be technologijų, taip pat domisi sveikata, kelionėmis, muzika ir psichine sveikata. Baigęs mechanikos inžineriją iš Surrey universiteto. Taip pat galima rasti rašius apie lėtinę ligą „PoTS Jots“.