Comment des millions d`applications sont vulnérables à un seul hack sécurité

A cette année, la conférence de sécurité Black Hat Europe, deux chercheurs de l`Université chinoise de Hong Kong a présenté une recherche qui a montré un exploit affectant les applications Android qui pourraient laisser potentiellement plus d`un milliard d`applications installées vulnérables aux attaques.

L`exploit repose sur un homme-in-the-middle de la mise en œuvre de la norme mobile d`autorisation OAuth 2.0. Cela semble très technique, mais qu`est-ce que cela signifie réellement, et vos données sont en sécurité?

Qu`est-ce que OAuth?

OAuth est un standard ouvert utilisé par de nombreux sites et applications pour vous permettre de vous connecter à une application tierce ou site web en utilisant un compte de l`un des nombreux fournisseurs de OAuth. Certains des exemples les plus courants et bien connus sont Google, Facebook et Twitter.3 Modalités essentielles de sécurité que vous devez comprendre3 Modalités essentielles de sécurité que vous devez comprendreConfus par cryptage? Perplexe par OAuth, ou pétrifié par Ransomware? Faisons Aiguisez certains des termes de sécurité les plus couramment utilisés, et exactement ce qu`ils veulent dire.Lire la suite

Single Sign bouton On (SSO) vous permet d`accorder l`accès à vos informations de compte. Lorsque vous cliquez sur le bouton Facebook, l`application tierce ou site web ressemble à un jeton d`accès, lui accordant l`accès à vos informations Facebook.

Si ce jeton ne se trouve pas il vous sera demandé de permettre l`accès des tiers à votre compte Facebook. Une fois que vous avez autorisé cela, Facebook reçoit un message du tiers demandant un jeton d`accès.

OAuth Site de recherche Connexion

Facebook répond avec un jeton, accordant l`accès des tiers aux informations que vous avez spécifié. Par exemple, vous donner accès à vos informations de profil de base, et la liste d`amis, mais pas vos photos. Le tiers reçoit le jeton et vous permet de vous connecter avec vos identifiants Facebook. Ensuite, tant que le jeton ne prend pas fin, il aura accès aux informations que vous avez autorisé.

Cela semble être un grand système. Vous devez vous rappeler les mots de passe moins, et obtenir pour vous connecter facilement et vérifier vos informations avec un compte que vous avez déjà. Les boutons SSO sont encore plus utiles sur mobile où la création de nouveaux mots de passe, où autorise un nouveau compte peut prendre du temps.

Quel est le problème?

Le dernier cadre OAuth - OAuth 2.0 - a été publié en Octobre 2012, et n`a pas été conçu pour les applications mobiles. Cela a conduit à de nombreux développeurs d`applications ayant à mettre en œuvre OAuth eux-mêmes, sans indications sur la façon dont il doit être fait en toute sécurité.

Alors que OAuth sur les sites Web utilise une communication directe entre le tiers et les serveurs du fournisseur d`authentification unique, les applications mobiles n`utilisent pas cette méthode de communication directe. Au lieu de cela, les applications mobiles communiquent entre eux par votre appareil.

OAuth App recherche Connexion

Lorsque vous utilisez OAuth sur un site Web, Facebook fournit les informations de jeton d`accès et d`authentification directement aux serveurs tiers. Ces informations peuvent ensuite être validée avant de vous connecter à l`utilisateur ou l`accès à des données personnelles.

Les chercheurs ont constaté qu`un grand pourcentage d`applications Android ont disparu cette validation. Au lieu de cela les serveurs de Facebook envoyer le jeton d`accès à l`application Facebook. Le jeton d`accès serait alors livré à l`application tierce. L`application tierce alors vous permettra de vous connecter, sans vérifier avec les serveurs de Facebook que les informations de l`utilisateur était légitime.

L`attaquant pourrait se connecter comme eux-mêmes, ce qui déclenche la demande de jeton OAuth. Une fois que Facebook a autorisé le jeton, ils pourraient s`insérer entre les serveurs et l`application Facebook Facebook. L`attaquant pourrait alors changer l`ID utilisateur sur le jeton à la victime. Le nom d`utilisateur est généralement l`information accessible au public aussi, donc il y a très peu d`obstacles pour l`attaquant. Une fois que l`ID utilisateur a été changé - mais l`autorisation accordée encore - l`application tierce se connecter sous le compte de la victime.

OAuth recherche MiM

Ce type d`exploitation est connu comme man-in-the-middle (MitM) attaque. C`est là l`attaquant est en mesure d`intercepter et de modifier les données, alors que les deux parties croient qu`ils communiquent directement entre eux.Qu`est-ce qu`un homme-In-The-Middle Attack? Sécurité Jargon ExplainedQu`est-ce qu`un homme-In-The-Middle Attack? Sécurité Jargon ExplainedLire la suite

Comment cela affecte-t-vous?

Si un attaquant est capable de tromper une application en leur faisant croire qu`il est vous, le pirate obtient l`accès à toutes les informations que vous stockez dans ce service. Les chercheurs ont créé le tableau ci-dessous qui énumère quelques-unes des informations que vous pouvez exposer sur les différents types d`applications.

Tableau de vulnérabilité de recherche OAuth

Certains types d`information sont moins dommageables que d`autres. Vous êtes moins susceptibles d`être inquiet au sujet d`exposer vos nouvelles histoire de la lecture que tous vos plans de voyage, ou la capacité d`envoyer et de recevoir des messages privés à votre nom. Il est un rappel qui donne à réfléchir des types d`informations que nous confions régulièrement à des tiers - et les conséquences de son utilisation abusive.

Si vous vous inquiétez?

Les chercheurs ont constaté que 41,21% des 600 applications les plus populaires qui prennent en charge l`authentification unique sur le Google Play Store étaient vulnérables à l`attaque MitM. Cela pourrait laisser des milliards d`utilisateurs dans le monde entier sont exposés à ce type d`attaque. L`équipe a mené leurs recherches sur Android, mais ils croient qu`il peut être répliqué sur iOS. Cela laisserait potentiellement des millions d`applications sur les deux plus grands systèmes d`exploitation mobiles vulnérables à cette attaque.

App Store Shutterstock
Crédit d`image: Bloomicon via Shutterstock

Au moment de l`écriture, il n`y a pas eu de déclarations officielles de l`Internet Engineering Task Force (IETF) qui a développé le OAuth 2.0. Les chercheurs ont refusé de nommer les applications concernées, vous devez donc faire preuve de prudence lors de l`utilisation de SSO sur les applications mobiles.

Video: TEASER ANTI-HACKING #HackAcademy Cigref

Il y a une doublure en argent. Les chercheurs ont déjà alerté Google et Facebook, et d`autres fournisseurs d`authentification unique de l`exploit. En plus de cela, ils travaillent aux côtés des développeurs tiers concernés pour résoudre le problème.

Que pouvez-vous faire maintenant?

Alors qu`une solution pourrait être sur son chemin, il y a beaucoup des applications affectées à être mis à jour. Cela est susceptible de prendre un certain temps, il pourrait être utile de ne pas utiliser l`authentification unique pour l`intervalle. Au lieu de cela, lorsque vous vous inscrivez pour un nouveau compte, assurez-vous créer un mot de passe vous ne serez pas oublier. Soit ça ou utiliser un gestionnaire de mot de passe pour faire le levage de charges lourdes pour vous.6 conseils pour créer un mot de passe que vous pouvez Incassable Rappelez-vous6 conseils pour créer un mot de passe que vous pouvez Incassable Rappelez-vousSi vos mots de passe ne sont pas uniques et incassable, vous pourriez aussi bien ouvrir la porte d`entrée et d`inviter les voleurs pour le déjeuner.Lire la suite

Video: 2 applications de hack sous Android ! (1 sans root)

Il est bon de mener votre propre bilan de santé de la sécurité de temps en temps. Google va même vous récompenser dans le stockage en nuage pour effectuer leur check-up. Ceci est un moment idéal pour Découvrez ce que vous avez donné la permission applications que pour sur vos comptes de SSO. C`est particulièrement important sur un site comme Facebook, qui stocke une énorme quantité d`informations très personnelles.

Pensez-vous qu`il est temps de passer loin de Single Sign On? Que pensez-vous est la meilleure méthode de connexion? Avez-vous été touché par cet exploit? Faites-nous savoir dans les commentaires ci-dessous!

Articles connexes