Werbung

Auf der diesjährigen Black Hat Europe-Sicherheitskonferenz haben zwei Forscher der chinesischen Universität Hongkong präsentierte Forschungsergebnisse, die einen Exploit zeigten, der Android-Apps beeinflusst Dadurch könnten möglicherweise mehr als eine Milliarde installierter Anwendungen anfällig für Angriffe sein.

Der Exploit basiert auf einem Man-in-the-Middle-Angriff der mobilen Implementierung des OAuth 2.0-Autorisierungsstandards. Das klingt sehr technisch, aber was bedeutet es eigentlich und sind Ihre Daten sicher?

Was ist OAuth?

OAuth ist ein offener Standard, der von vielen Websites und Apps verwendet wird 3 Grundlegende Sicherheitsbedingungen, die Sie verstehen müssenDurch Verschlüsselung verwirrt? Von OAuth verblüfft oder von Ransomware versteinert? Lassen Sie uns einige der am häufigsten verwendeten Sicherheitsbegriffe und genau deren Bedeutung auffrischen. Weiterlesen Damit können Sie sich mit einem Konto eines der vielen OAuth-Anbieter bei einer Drittanbieter-App oder Website anmelden. Einige der häufigsten und bekanntesten Beispiele sind Google, Facebook und Twitter.

Mit der Schaltfläche Single Sign On (SSO) können Sie Zugriff auf Ihre Kontoinformationen gewähren. Wenn Sie auf die Facebook-Schaltfläche klicken, sucht die Drittanbieter-App oder Website nach einem Zugriffstoken und gewährt ihm Zugriff auf Ihre Facebook-Informationen.

Wenn dieses Token nicht gefunden wird, werden Sie aufgefordert, dem Drittanbieter Zugriff auf Ihr Facebook-Konto zu gewähren. Sobald Sie dies autorisiert haben, erhält Facebook eine Nachricht vom Dritten, in der Sie um ein Zugriffstoken gebeten werden.

OAuth Research Website Login

Facebook antwortet mit einem Token und gewährt dem Drittanbieter Zugriff auf die von Ihnen angegebenen Informationen. Sie gewähren beispielsweise Zugriff auf Ihre grundlegenden Profilinformationen und die Freundesliste, jedoch nicht auf Ihre Fotos. Der Drittanbieter erhält das Token und ermöglicht Ihnen, sich mit Ihren Facebook-Anmeldeinformationen anzumelden. Solange das Token nicht abläuft, hat es Zugriff auf die von Ihnen autorisierten Informationen.

Dies scheint ein großartiges System zu sein. Sie müssen sich weniger Passwörter merken und sich einfach anmelden und Ihre Informationen mit einem Konto überprüfen, das Sie bereits haben. Die SSO-Schaltflächen sind auf Mobilgeräten noch nützlicher, wenn das Erstellen neuer Kennwörter und das Autorisieren eines neuen Kontos zeitaufwändig sein kann.

Was ist das Problem?

Das neueste OAuth-Framework - OAuth 2.0 - wurde im Oktober 2012 veröffentlicht und war nicht für mobile Apps konzipiert. Dies hat dazu geführt, dass viele App-Entwickler OAuth selbst implementieren müssen, ohne eine Anleitung zu haben, wie dies sicher durchgeführt werden soll.

Während OAuth auf Websites die direkte Kommunikation zwischen dem Drittanbieter und den Servern des SSO-Anbieters verwendet, verwenden mobile Apps diese direkte Kommunikationsmethode nicht. Stattdessen kommunizieren mobile Apps über Ihr Gerät miteinander.

OAuth Research App Login

Bei Verwendung von OAuth auf einer Website liefert Facebook die Zugriffstoken- und Authentifizierungsinformationen direkt an die Server von Drittanbietern. Diese Informationen können dann überprüft werden, bevor der Benutzer angemeldet oder auf persönliche Daten zugegriffen wird.

Die Forscher fanden heraus, dass einem großen Prozentsatz der Android-Anwendungen diese Validierung fehlte. Stattdessen senden die Server von Facebook das Zugriffstoken an die Facebook-App. Das Zugriffstoken wird dann an die Drittanbieter-App gesendet. Mit der Drittanbieter-App können Sie sich dann anmelden, ohne mit den Servern von Facebook zu überprüfen, ob die Benutzerinformationen legitim sind.

Der Angreifer kann sich als sich selbst anmelden und die OAuth-Token-Anforderung auslösen. Sobald Facebook das Token autorisiert hat, kann es sich zwischen den Servern von Facebook und der Facebook-App einfügen. Der Angreifer könnte dann die Benutzer-ID auf dem Token in die des Opfers ändern. Der Benutzername ist normalerweise auch öffentlich verfügbar, daher gibt es nur sehr wenige Hindernisse für den Angreifer. Sobald die Benutzer-ID geändert wurde, die Autorisierung jedoch noch erteilt wurde, meldet sich die Drittanbieter-App unter dem Konto des Opfers an.

OAuth Research MiM

Diese Art von Exploit wird als a bezeichnet Man-in-the-Middle-Angriff (MitM) Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärtWenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht sicher sind, was das bedeutet, ist dies der Artikel für Sie. Weiterlesen . Hier kann der Angreifer Daten abfangen und ändern, während die beiden Parteien glauben, direkt miteinander zu kommunizieren.

Wie wirkt sich das auf Sie aus?

Wenn ein Angreifer eine App täuschen kann, dass er Sie ist, erhält der Hacker Zugriff auf alle Informationen, die Sie in diesem Dienst speichern. Die Forscher haben die folgende Tabelle erstellt, in der einige Informationen aufgeführt sind, die Sie möglicherweise für verschiedene Arten von Apps bereitstellen.

OAuth Research Vulnerability Table

Einige Arten von Informationen sind weniger schädlich als andere. Es ist weniger wahrscheinlich, dass Sie sich Sorgen machen, ob Sie Ihren Nachrichtenverlauf offenlegen als alle Ihre Reisepläne oder ob Sie private Nachrichten in Ihrem Namen senden und empfangen können. Es ist eine ernüchternde Erinnerung an die Arten von Informationen, die wir regelmäßig Dritten anvertrauen - und an die Folgen ihres Missbrauchs.

Sollten Sie sich Sorgen machen?

Die Forscher fanden heraus, dass 41,21% der 600 beliebtesten Apps, die SSO im Google Play Store unterstützen, für den MitM-Angriff anfällig waren. Dies könnte möglicherweise Milliarden von Benutzern auf der ganzen Welt dieser Art von Angriff aussetzen. Das Team hat seine Forschungen auf Android durchgeführt, aber sie glauben, dass es auf iOS repliziert werden kann. Dies würde möglicherweise Millionen von Apps auf den beiden größten mobilen Betriebssystemen für diesen Angriff anfällig machen.

App Store Shutterstock
Bildnachweis: Bloomicon über Shutterstock

Zum Zeitpunkt des Schreibens gab es keine offiziellen Erklärungen der Internet Engineering Task Force (IETF), die die OAuth 2.0-Spezifikationen entwickelt haben. Die Forscher haben sich geweigert, die betroffenen Apps zu benennen. Daher sollten Sie bei der Verwendung von SSO auf mobilen Apps Vorsicht walten lassen.

Es gibt einen Silberstreifen. Die Forscher haben bereits Google, Facebook und andere SSO-Anbieter auf den Exploit aufmerksam gemacht. Darüber hinaus arbeiten sie mit den betroffenen Drittentwicklern zusammen, um das Problem zu beheben.

Was können Sie jetzt tun?

Während ein Fix auf dem Weg sein könnte, gibt es viel der betroffenen Apps aktualisiert werden. Dies wird wahrscheinlich einige Zeit dauern, daher kann es sich lohnen, SSO in der Zwischenzeit nicht zu verwenden. Wenn Sie sich für ein neues Konto registrieren, stellen Sie dies stattdessen sicher Erstellen Sie ein sicheres Passwort 6 Tipps zum Erstellen eines unzerbrechlichen Passworts, an das Sie sich erinnern könnenWenn Ihre Passwörter nicht eindeutig und unzerbrechlich sind, können Sie auch die Haustür öffnen und die Räuber zum Mittagessen einladen. Weiterlesen du wirst es nicht vergessen Entweder das oder Verwenden Sie einen Passwort-Manager Wie Passwortmanager Ihre Passwörter schützenPasswörter, die schwer zu knacken sind, sind ebenfalls schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwort-Manager. Hier erfahren Sie, wie sie funktionieren und wie sie Sie schützen. Weiterlesen das schwere Heben für Sie zu tun.

Es ist eine gute Praxis, Führen Sie Ihre eigene Sicherheitsüberprüfung durch Schützen Sie sich mit einer jährlichen Sicherheits- und DatenschutzprüfungWir sind fast zwei Monate im neuen Jahr, aber es bleibt noch Zeit, eine positive Lösung zu finden. Vergessen Sie, weniger Koffein zu trinken - wir sprechen über Maßnahmen zum Schutz der Online-Sicherheit und der Privatsphäre. Weiterlesen von Zeit zu Zeit. Google wird sogar Belohnen Sie im Cloud-Speicher Mit dieser 5-minütigen Google-Überprüfung erhalten Sie 2 GB freien SpeicherplatzWenn Sie diese Sicherheitsüberprüfung fünf Minuten lang durchführen, erhalten Sie von Google 2 GB freien Speicherplatz auf Google Drive. Weiterlesen für die Durchführung ihrer Überprüfung. Dies ist eine ideale Zeit dafür Überprüfen Sie, für welche Apps Sie die Berechtigung erteilt haben Verwenden Sie Social Login? Führen Sie diese Schritte aus, um Ihre Konten zu sichernWenn Sie einen sozialen Anmeldedienst (wie Google oder Facebook) verwenden, denken Sie möglicherweise, dass alles sicher ist. Nicht so - es ist Zeit, einen Blick auf die Schwächen sozialer Logins zu werfen. Weiterlesen auf Ihren SSO-Konten. Das ist besonders wichtig auf einer Seite wie Facebook So verwalten Sie Ihre Facebook-Anmeldungen von Drittanbietern [Wöchentliche Facebook-Tipps]Wie oft haben Sie einer Website eines Drittanbieters Zugriff auf Ihr Facebook-Konto gewährt? So können Sie Ihre Einstellungen verwalten. Weiterlesen , die ein speichert enorme Menge sehr persönlicher Informationen So laden Sie Ihren gesamten Facebook-Verlauf herunterIm Laufe der Jahre hat Facebook viele Daten über Sie gesammelt. In diesem Artikel erklären wir, wie Sie Ihren Facebook-Verlauf herunterladen und was wahrscheinlich darin lauert. Weiterlesen .

Denken Sie, es ist Zeit, sich von Single Sign On zu entfernen? Was ist Ihrer Meinung nach die beste Anmeldemethode? Waren Sie von diesem Exploit betroffen? Lass es uns in den Kommentaren unten wissen!

Bildnachweis: Marc Bruxelle / Shutterstock

James ist MakeUseOfs Buying Guides & Hardware News Editor und freiberuflicher Autor, der sich leidenschaftlich dafür einsetzt, Technologie für jedermann zugänglich und sicher zu machen. Neben Technologie interessiert sich auch für Gesundheit, Reisen, Musik und psychische Gesundheit. BEng in Maschinenbau an der University of Surrey. Kann auch bei PoTS Jots über chronische Krankheiten geschrieben werden.