首页>安全资讯>OAuth2.0部署不当,数十亿Android App账户存泄露风险

OAuth2.0部署不当,数十亿Android App账户存泄露风险

香港大学的三名安全研究人员发现,众多支持单点登录的App没有正确部署OAuth2.0认证协议,攻击者可利用此漏洞远程登陆任何用户的App账户。

Ronghai Yang、Wing Cheong Lau和Tianyu Liu调查了美国和中国最热门的600个Android应用,发现182个应用支持单点登录服务,这其中有41%没有正确部署OAuth2.0协议。

具体问题

OAuth认证是什么?

许多社交网络平台,包括新浪微博、Google、Facebook等,都在使用OAuth 2.0认证协议。这个认证协议可以让用户在一处登录后,通过认证已有的身份,登录第三方服务,而不需要提供其它信息。比如下图:

OAuth2.0认证协议1

App开发者应当如何实现OAuth认证?

OAuth2.0认证协议2

当用户通过OAuth登录第三方应用时,该应用将检验用户ID提供方(比如新浪微博)是否提供了正确的认证信息。如果认证信息正确,OAuth将从微博处得到一个访问token,然后发放给第三方App的服务器。访问token发放后,App服务器将向微博索取用户认证信息,进行验证,而后让用户使用微博登录信息登录这个第三方App。

App开发者实际如何部署OAuth认证?

OAuth2.0认证协议3

研究人员发现,许多Android App的开发者并没有正确地核对微博等ID提供方发来的信息的有效性。

这些第三方App并没有验证上文提到的访问token,以核查用户与ID提供方是否关联;第三方App服务器只检查了这个信息是否由一个有效的ID提供方发出。

这种部署给了攻击者可乘之机,他们可以下载存在此漏洞的App,使用自己的信息登录,通过建立服务器,修改新浪微博等ID提供方发送的数据,将自己的用户名改为目标对象的用户名。

影响范围

攻击者可以利用这种方法,泄露用户敏感信息,或者以用户名义在相应App上操作。

在接受福布斯采访时,Lau表示OAuth2.0部署问题其实是个基础性的错误。但是,影响范围却可能很严重。攻击者如果黑入旅游App,可以获得用户的完整行程信息;如果黑的是酒店预订App,可以预定房间并让受害用户支付;攻击者也有可能盗取地址、银行账户等个人信息。

“OAuth协议挺复杂的。许多第三方开发商都是小本经营,他们没有能力。大多数时候,他们用的是Google和Facebook的推荐,但是如果他们不正确操作的话,他们的App就很容易受到攻击。”

研究人员发现有OAuth部署问题的各类App总共有24亿的下载量,专家估计将有10亿不同的手机App账户可能被劫持。下图列出了存在此漏洞的App类型:

OAuth2.0认证协议4

是否影响iPhone用户?

研究人员并没有测试iOS设备,但他们认为这个攻击在苹果App上一样可以实现。

虽然他们的攻击是在Android平台演示的,但是这个exploit与平台无关:任何iOS或者Android用户,只要曾经用过存在此漏洞的App,都会受到影响。

相关资讯:

医疗系统,医疗APP,医疗软件应用漏洞频发,严重威胁到病人隐私数据

近日,一款在美国被广泛应用于医疗机构的APP被爆存在“后门”,任何人只要拥有硬编码凭证就可以获取和修改病人(其中包括即将或正在手术的病人)的私密数据,严重影响病人...

放弃SHA-1证书,P2P平台安全,移动APP安全

2015年网络安全热点资讯栏目,为您提供关于:谷歌百度HTTPS,苹果HTTPS,收录https站点,HTTPS-Only标准,放弃SHA-1证书,P2P平台安全,移动APP安全,https加密流量,http流量...

2016年底苹果iOS App强制使用HTTPS

6月14日在WWDC 2016开发者大会上,苹果宣布了一个最后期限:2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport Security(ATS)安全功能。

移动APP存重大安全隐患,用户数据未启用HTTPS加密

移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患,检测显示90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面,98%不校验证书链和...

移动网络安全不容忽视:Anroid平台http嗅探劫持漏洞

某安全团队在日常终端安全审计中发现,在Android平台中使用https通讯的app绝大多数都没有安全的使用google提供的API,存在https通讯中的敏感信息泄漏甚至远程...

苹果IOS9系统推HTTPS 加强个人隐私信息保护

苹果公司推出IOS9系统,要求HTTP协议全部升级为HTTPS协议,使用户在使用各类APP时,个人隐私信息得到更高级的保护。各大APP开发者可到沃通CA申请免费SSL...