OAuth 2.0協(xié)議使用不當導致數(shù)十億APP賬戶可被遠程劫持

前言

香港中文大學的三位安全研究員Ronghai Yang、Wing Cheong Lau、Tianyu Liu發(fā)現(xiàn)了一個極其危險的安全隱患，超過10億的移動APP（包括安卓版本和iOS版本）都可以在用戶完全不知情的情況下被遠程劫持。

他們?nèi)话踩芯繂T發(fā)現(xiàn)大部分流行的移動應用程序都支持單點登錄（SSO）服務，也就是說用戶只需登錄一次就可以訪問所有相互信任的應用系統(tǒng)，但是這些應用程序卻以不安全的方式執(zhí)行了OAuth 2.0。

OAuth 2.0簡介

OAuth 2.0是一個開放的認證標準，廣泛應用在各個社交網(wǎng)站上。有了它，用戶便可以直接通過谷歌、Facebook、新浪賬戶登錄其他第三方應用。用戶完全不需要額外提供用戶名或者密碼就可以直接登錄第三方應用。

當用戶使用OAuth 登錄第三方應用時，應用會請求核對ID。拿Facebook舉例，如果用戶使用Facebook賬戶登錄第三方應用時，OAuth 就需要從Facebook拿到訪問令牌，然后發(fā)送給第三方應用。

當訪問令牌被傳送到第三方應用上時，應用的服務器會請求查看來自Facebook的用戶認證信息，然后進行核實，最后才會允許用戶以Facebook賬戶登錄第三方應用。

漏洞的影響及危害

香港中文大學的三位安全研究員發(fā)現(xiàn)，大部分的安卓應用的開發(fā)者都不會去核實來自谷歌、Facebook、新浪的賬戶信息。這些應用的服務器不會驗證OAuth 信息（也就是用戶的認證信息），它們只會檢查這些ID是否和從ID供應商那里檢索到的匹配。

基于這一天大的錯誤，遠程攻擊者可以下載一個存在問題應用，先用自己的信息登錄，然后再將用戶名更改成任意他想攻擊的目標。之后，攻擊者便可以完全控制住應用程序上的數(shù)據(jù)了。

影響是什么呢？如果黑客入侵進了受害者的旅游APP，他們就能知道受害者的行程；如果他們?nèi)肭诌M酒店預訂APP，他們就可以預定一個房間，并且讓受害者支付；或者是竊取受害者的個人信息，比如家庭住址、銀行詳細信息。

“OAuth 協(xié)議非常的復雜，很多第三方開發(fā)者都是半桶水晃蕩，沒有什么能力。他們大部分都是借鑒使用谷歌和Facebook的一些功能，但是如果他們不能正確的使用，那么他們開發(fā)出來的APP將會出很大的安全風險?！?/p>

Ronghai Yang、Wing Cheong Lau、Tianyu Liu已經(jīng)在美國和中國發(fā)現(xiàn)了數(shù)百款安卓應用在使用SSO服務，并且下載量超過24億次，但是不幸的是都存在該問題。據(jù)安全研究員們估計，有超過10億個不同的移動APP賬戶存在被攻擊者劫持的風險。

后記

安全研究員們還沒有測試他們的exp在iPhone手機上是否適用，但是他們相信他們的攻擊方式對所有存在漏洞的應用都有效，包括iOS移動操作系統(tǒng)。

“盡管我們現(xiàn)在的攻擊方式只在安卓平臺上進行了演示，但是exp本身就與平臺無關(guān)，只要用戶使用了基于OAuth 2.0的SSO服務，不管它是安卓版的移動應用還是iOS版的移動應用，他都將受影響?！?/p>

Ronghai Yang、Wing Cheong Lau在Black Hat Europe公開了他們的這一發(fā)現(xiàn)。

詳細細節(jié)文檔：https://www.blackhat.com/docs/eu-16/materials/eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。