07/11/2016

Απλό hack δίνει πρόσβαση σε πάνω από 1 δις εφαρμογές κινητών

Ερευνητές ασφαλείας ανακάλυψαν ένα τρόπο hacking σε εφαρμογές Android και iOS. Με λίγα λόγια οι ερευνητές θα μπορούσαν να συνδεθούν απομακρυσμένα στις εφαρμογές που παραβιάζουν χωρίς να το γνωρίζει το θύμα. Μια ομάδα τριών ερευνητών, (Ronghai Yang, Wing Cheong Lau, και Tianyu Liu) από το Κινέζικο Πανεπιστήμιο του Hong Kong ανακάλυψαν μια ευπάθεια που επηρεάζει τα περισσότερα από τα δημοφιλή κινητά που υποστηρίζουν την υπηρεσία single sign-on (SSO) εφαρμόζοντας το OAuth 2.0.

Το OAuth 2.0 είναι ένα ανοιχτό πρότυπο για τη χορήγηση αδειών που επιτρέπει στους χρήστες να συνδεθούν σε υπηρεσίες τρίτων χωρίς να πραγματοποιήσουν κάποια εγγραφή. Απλά επαληθεύουν την ταυτότητά τους με λογαριασμούς της Google, του Facebook, ή και άλλων μεγάλων εταιρειών. Όταν ένας χρήστης συνδέεται σε μια εφαρμογή τρίτου χρησιμοποιώντας το πρότυπο OAuth, η εφαρμογή θα πρέπει πραγματοποιήσει έλεγχο με τον πάροχο ID, ας πούμε, το Facebook. Η εφαρμογή θα προσπαθήσει να ανακαλύψει αν τα στοιχεία ταυτότητας είναι σωστά. Αφού το κάνει, το OAuth δίνει πρόσβαση στο ‘Access Token’ του Facebook το οποίο στη συνέχεια παραδίδεται στον εξυπηρετητή (server) της εφαρμογής για κινητά. Μόλις εκδοθεί το διακριτικό πρόσβασης, ο διακομιστής της εφαρμογής ζητά πληροφορίες ελέγχου ταυτότητας του χρήστη από το Facebook, τις ελέγξει και στη συνέχεια παραχωρεί σύνδεση στον χρήστη με τα διαπιστευτήρια που χρησιμοποιεί στο Facebook.

Που είναι το λάθος; Οι ερευνητές διαπίστωσαν ότι οι προγραμματιστές πάρα πολλών εφαρμογών στο Android δεν ελέγχουν σωστά την εγκυρότητα των πληροφοριών που αποστέλλονται από τους πάροχους ταυτότητας, όπως το Facebook, η την Google.Αντί να επαληθεύσουν τις πληροφορίες του OAuth (Access Token) εάν ο χρήστης και ο πάροχος ταυτότητας είναι συνδεδεμένοι, ο διακομιστής της εφαρμογής ελέγχει μόνο για το όνομα χρήστη που χρησιμοποιείται από τον πάροχο ταυτότητας.Λόγω αυτής της γκάφας, κάποιος απομακρυσμένος hacker μπορεί να κατεβάσει την ευάλωτη εφαρμογή, να συνδεθεί με τα δικά του στοιχεία και στη συνέχεια να αλλάξει το όνομα χρήστη στο άτομο που θέλει να επιτεθεί, στήνοντας ένα server για να τροποποιήσει τα δεδομένα που αποστέλλονται από το Facebook, την Google ή κάποιον άλλο παρόχο ταυτότητας.Μόλις γίνει αυτό, ο hacker έχει τον πλήρη έλεγχο στα δεδομένα που υπάρχουν εντός της εφαρμογής σύμφωνα με το Forbes. Φανταστείτε να είναι κάποια τραπεζική εφαρμογή…

«Το πρωτόκολλο OAuth είναι αρκετά περίπλοκο,» αναφέρει ο Lau στο Forbes.«Πολλοί προγραμματιστές εφαρμογών, δεν έχουν την ικανότητα. Τις περισσότερες φορές χρησιμοποιούν τα διαπιστευτήρια της Google και του Facebook, αλλά αν δεν το κάνουν σωστά, οι εφαρμογές τους είναι ορθάνοιχτες.»Οι ερευνητές ανακάλυψαν εκατοντάδες δημοφιλείς εφαρμογές για Android που είναι ευάλωτες καθώς υποστηρίζουν την υπηρεσία SSO με συνολικά πάνω από 2,4 δισεκατομμύρια downloads.Λαμβάνοντας υπόψη τον αριθμό των χρηστών που επιλέγουν τις συνδέσεις OAuth, οι ερευνητές εκτιμούν ότι πάνω κινδυνεύουν από ένα δισεκατομμύριο διαφορετικοί λογαριασμοί εφαρμογών.Οι ερευνητές δεν δοκιμάσει τα exploits σε iPhone, αλλά πιστεύουν ότι η επίθεση τους θα μπορούσε να λειτουργήσει σε οποιοδήποτε ευάλωτη εφαρμογή υπάρχει στο iOS της Apple.Ο Yang και ο Lau παρουσίασαν την ερευνητική τους εργασία με τίτλο, Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0, στο συνέδριο Black Hat Europe, την Παρασκευή.

https://secnews.gr/150141/oauth-2-0-mobile-appls-hack/

No comments :

Post a Comment