פרסומת
בכנס האבטחה Black Hat Europe השנה, שני חוקרים מאוניברסיטת הונג קונג הסינית הציג מחקר שהראה ניצול המשפיע על אפליקציות אנדרואיד דבר שעלול להשאיר יותר ממיליארד יישומים מותקנים חשופים להתקפה.
הניצול מסתמך על התקפה בין אמצעיים ליישום הסלולרי של תקן ההרשאה OAuth 2.0. זה נשמע טכני מאוד, אבל מה זה בעצם אומר והאם הנתונים שלך בטוחים?
מה זה OAuth?
OAuth הוא תקן פתוח המשמש אתרי אינטרנט ואפליקציות רבים 3 תנאי אבטחה חיוניים שעליך להביןמבולבל מהצפנה? מבולבל על ידי OAuth, או מאובן על ידי Ransomware? בואו נפרק כמה מתנאי האבטחה הנפוצים ביותר, ומה בדיוק הם מתכוונים. קרא עוד כדי לאפשר לך להיכנס לאפליקציה או לאתר של צד שלישי באמצעות חשבון מאחד מספקי OAuth הרבים. כמה מהדוגמאות הנפוצות והידועות ביותר הן גוגל, פייסבוק וטוויטר.
כפתור כניסה יחידה (SSO) מאפשר לך להעניק גישה למידע על חשבונך. כשאתה לוחץ על כפתור הפייסבוק, האפליקציה או האתר של צד שלישי מחפשים אסימון גישה ומעניקים לו גישה למידע שלך בפייסבוק.
אם אסימון זה לא נמצא, תתבקש לאפשר לצד שלישי גישה לחשבון הפייסבוק שלך. לאחר שתאשר זאת, פייסבוק מקבלת הודעה מהצד השלישי המבקשת אסימון גישה.
פייסבוק מגיבה באסימון, ומעניקה לצד שלישי גישה למידע שציינת. לדוגמה, אתה מעניק גישה לפרטי הפרופיל הבסיסיים שלך ולרשימת החברים שלך, אך לא לתמונות שלך. הצד השלישי מקבל את האסימון ומאפשר לך להתחבר באמצעות אישורי הפייסבוק שלך. ואז, כל עוד האסימון לא יפוג, תהיה לו גישה למידע שאישרת.
זה נראה כמו מערכת נהדרת. עליכם לזכור פחות סיסמאות, ולהיכנס בקלות לאימות המידע שלכם באמצעות חשבון שכבר יש לכם. כפתורי ה- SSO מועילים אף יותר בנייד כאשר יצירת סיסמאות חדשות, בהן אישור חשבון חדש יכול להימשך זמן רב.
מה הבעיה?
המסגרת העדכנית ביותר של OAuth - OAuth 2.0 - יצאה באוקטובר 2012 ולא תוכננה ליישומים ניידים. זה הוביל לכך שמפתחי אפליקציות רבים נאלצו ליישם את OAuth בעצמם, ללא הנחיות כיצד יש לעשות זאת בצורה מאובטחת.
בעוד ש- OAuth באתרים משתמשים בתקשורת ישירה בין שרתי ספקים חיצוניים לשרת SSO, אפליקציות סלולריות אינן משתמשות בשיטת תקשורת ישירה זו. במקום זאת, אפליקציות סלולריות מתקשרות זו עם זו דרך המכשיר שלך.
בעת השימוש ב- OAuth באתר אינטרנט, פייסבוק מספקת את אסימון הגישה ומידע האימות ישירות לשרתי הצד השלישי. לאחר מכן ניתן לאמת מידע זה לפני הכניסה למשתמש או גישה למידע אישי כלשהו.
החוקרים גילו כי אחוז גדול מאפליקציות אנדרואיד חסר את האימות הזה. במקום זאת השרתים של פייסבוק שולחים את אסימון הגישה ליישום הפייסבוק. אסימון הגישה יימסר לאחר מכן לאפליקציית הצד השלישי. לאחר מכן יישום הצד השלישי יאפשר לך להתחבר, מבלי לוודא עם שרתי הפייסבוק שמידע המשתמש היה לגיטימי.
התוקף יכול להתחבר כעצמם, להפעיל את בקשת אסימון ה- OAuth. לאחר שפייסבוק אישרה את האסימון, הם יכולים להכניס את עצמם בין שרתי פייסבוק לאפליקציית פייסבוק. התוקף יכול לאחר מכן לשנות את מזהה המשתמש באסימון לזה של הקורבן. שם המשתמש הוא בדרך כלל גם מידע זמין לציבור, ולכן יש מעט מאוד חסמים עבור התוקף. לאחר שינוי מזהה המשתמש - אך ההרשאה עדיין הוענקה - יישום הצד השלישי יתחבר לחשבון הקורבן.
סוג זה של ניצול ידוע בשם א התקפה של איש באמצע (MitM) מהי התקפה של אדם באמצע? הוסבר שפה הביטחוןאם שמעתם על התקפות "איש-באמצע" אך אינך בטוח לגמרי מה זה אומר, זה המאמר בשבילך. קרא עוד . זה המקום בו התוקף מסוגל ליירט ולשנות נתונים, בעוד שני הצדדים מאמינים שהם מתקשרים זה עם זה ישירות.
איך זה משפיע עליך?
אם תוקף מסוגל לשטות באפליקציה ולהאמין שהוא אתה, אז ההאקר יקבל גישה לכל המידע שאתה שומר בשירות זה. החוקרים יצרו את הטבלה המוצגת למטה המפרטת חלק מהמידע שתוכלו לחשוף בסוגים שונים של אפליקציות.
סוגים מסוימים של מידע פוגעים פחות מאחרים. סביר להניח שאתה מודאג מחשיפת היסטוריית קריאת החדשות שלך מכל תוכניות הנסיעות שלך, או מהאפשרות לשלוח ולקבל הודעות פרטיות בשמך. זוהי תזכורת מפוכחת לסוגי המידע שאנו מפקידים באופן קבוע לצדדים שלישיים - וההשלכות של שימוש לרעה בה.
האם אתה צריך לדאוג?
החוקרים גילו כי 41.21% מתוך 600 האפליקציות הפופולריות ביותר התומכות ב- SSO בחנות Google Play היו פגיעות להתקפת MitM. זה עלול להשאיר מיליארדי משתמשים ברחבי העולם חשופים להתקפה מסוג זה. הצוות ערך את המחקר שלהם על אנדרואיד אך הם מאמינים שניתן לשכפל אותו ב- iOS. זה עשוי להשאיר מיליוני אפליקציות בשתי מערכות ההפעלה הגדולות הסלולריות חשופות להתקפה זו.
בזמן הכתיבה לא התקבלו הצהרות רשמיות של כוח המשימה ההנדסי באינטרנט (IETF) שפיתחו את מפרטי OAuth 2.0. החוקרים סירבו לקרוא לאפליקציות המושפעות, לכן עליכם לנהוג בזהירות בעת השימוש ב- SSO באפליקציות לנייד.
יש בטנה כסופה. החוקרים כבר התריעו על גוגל ופייסבוק, וספקי SSO אחרים על המנצל. נוסף על כך, הם עובדים לצד מפתחי צד ג 'המושפעים כדי לפתור את הבעיה.
מה אתה יכול לעשות עכשיו?
אמנם יתקן עשוי להיות בדרך, אבל יש כאלה הרבה של האפליקציות המושפעות שיש לעדכן. סביר להניח שזה ייקח קצת זמן, ולכן כדאי יהיה לא להשתמש ב- SSO בינתיים. במקום זאת, כשאתה נרשם לחשבון חדש, וודא שאתה עושה זאת צור סיסמה חזקה 6 טיפים ליצירת סיסמא בלתי ניתנת לשבירה שאתה זוכראם הסיסמאות שלך אינן ייחודיות ובלתי ניתנות לשבירה, תוכל באותה מידה לפתוח את דלת הכניסה ולהזמין את השודדים לארוחת צהריים. קרא עוד לא תשכח. או זה או השתמש במנהל סיסמאות כיצד מנהלי סיסמאות שומרים על סיסמאותיךקשה לזכור סיסמאות שקשה לפצח. רוצים להיות בטוחים? אתה צריך מנהל סיסמאות. הנה איך הם עובדים ואיך הם שומרים עליך. קרא עוד לעשות את ההרמה הכבדה עבורך.
זה תרגול טוב ערוך בדיקת אבטחה משלך הגן על עצמך באמצעות בדיקת אבטחה ופרטיות שנתיתאנחנו כמעט חודשיים אל תוך השנה החדשה, אך עדיין יש זמן לקבל החלטה חיובית. תשכח לשתות פחות קפאין - אנחנו מדברים על נקיטת צעדים לשמירה על האבטחה והפרטיות המקוונת. קרא עוד מעת לעת. גוגל אפילו לתגמל אותך באחסון ענן בדיקת Google זו בת 5 דקות תעניק לך שטח פנוי של 2 GBאם תעבור חמש דקות לעבור את בדיקת האבטחה הזו, גוגל תיתן לך 2 GB שטח פנוי בכונן Google. קרא עוד לביצוע הבדיקה שלהם. זהו זמן אידיאלי בדוק לאילו אפליקציות נתת הרשאה משתמש בכניסה חברתית? בצע את הצעדים הבאים לאבטחת חשבונותיךאם אתה משתמש בשירות התחברות חברתי (כמו גוגל או פייסבוק), אתה עשוי לחשוב שהכל מאובטח. לא כך - הגיע הזמן לבדוק את החולשות של כניסות חברתיות. קרא עוד בחשבונות ה- SSO שלך. זה חשוב במיוחד באתר כמו פייסבוק כיצד לנהל את פרטי התחברות בפייסבוק של צד שלישי [טיפים שבועיים בפייסבוק]כמה פעמים אפשרתם לאתר של צד שלישי לקבל גישה לחשבון הפייסבוק שלכם? כך תוכלו לנהל את ההגדרות שלכם. קרא עוד , המאחסנת א כמות עצומה של מידע אישי מאוד כיצד להוריד את כל ההיסטוריה שלך בפייסבוקבמהלך השנים פייסבוק אספה הרבה נתונים אודותיך. במאמר זה אנו מסבירים כיצד להוריד את ההיסטוריה שלך בפייסבוק ומה אתה עשוי למצוא אורב בתוכך. קרא עוד .
האם אתה חושב שהגיע הזמן להתרחק מכניסה יחידה? מה לדעתך שיטת הכניסה הטובה ביותר? הושפעת מהניצול הזה? ספר לנו בתגובות למטה!
קרדיטים לתמונות: מארק ברוקסל / Shutterstock
ג'יימס הוא מדריכי הקנייה והחומרה של MakeUseOf של עורך וסופר פרילנסרים נלהבים מהנגשת הטכנולוגיה ובטוחה לכולם. לצד הטכנולוגיה, מתעניינים גם בבריאות, נסיעות, מוזיקה ובריאות נפשית. בוגר בהנדסת מכונות מאוניברסיטת סורי. ניתן למצוא גם כותבים על מחלות כרוניות ב- PoTS Jots.