Come milioni di app sono vulnerabili a un singolo Hack di sicurezza
Alla conferenza sulla sicurezza di Black Hat Europe di quest'anno, due ricercatori dell'Università cinese di Hong Kong hanno presentato una ricerca che mostrava un exploit che interessava le app Android che potenzialmente potevano lasciare vulnerabili all'attacco oltre un miliardo di applicazioni installate.
L'exploit si basa su un attacco man-in-the-middle dell'implementazione mobile dello standard di autorizzazione OAuth 2.0. Sembra molto tecnico, ma cosa significa in realtà, ed è sicuro per i tuoi dati?
Cos'è OAuth?
OAuth è uno standard aperto utilizzato da molti siti Web e app 3 Termini di sicurezza essenziali È necessario comprendere 3 Termini di sicurezza essenziali che è necessario comprendere per la crittografia? Sconcertato da OAuth o pietrificato da Ransomware? Cerchiamo di rispolverare alcuni dei termini di sicurezza più comunemente usati, e esattamente cosa significano. Leggi altro per consentirti di accedere a un'app o a un sito Web di terzi utilizzando un account di uno dei molti provider OAuth. Alcuni degli esempi più comuni e noti sono Google, Facebook e Twitter.
Il pulsante Single Sign-On (SSO) ti consente di concedere l'accesso alle informazioni del tuo account. Quando fai clic sul pulsante Facebook, l'app o il sito Web di terze parti cerca un token di accesso, garantendogli l'accesso alle informazioni di Facebook.
Se questo token non viene trovato, ti verrà chiesto di consentire l'accesso di terze parti al tuo account Facebook. Una volta autorizzato, Facebook riceve un messaggio dalla terza parte che richiede un token di accesso.
Facebook risponde con un token, garantendo l'accesso di terzi alle informazioni specificate. Ad esempio, concedi l'accesso alle informazioni del tuo profilo di base e all'elenco di amici, ma non alle tue foto. La terza parte riceve il token e consente di accedere con le credenziali di Facebook. Quindi, finché il token non scade, avrà accesso alle informazioni che hai autorizzato.
Questo sembra un grande sistema. Devi ricordare meno password e accedere facilmente e verificare le tue informazioni con un account che hai già. I pulsanti SSO sono ancora più utili sui dispositivi mobili dove creare nuove password, in cui autorizzare un nuovo account può richiedere molto tempo.
Qual è il problema?
Il più recente framework OAuth - OAuth 2.0 - è stato rilasciato a ottobre 2012 e non è stato progettato per le app mobili. Ciò ha portato molti sviluppatori di app a implementare OAuth da soli, senza indicazioni su come dovrebbe essere fatto in modo sicuro.
Mentre OAuth sui siti Web utilizza la comunicazione diretta tra i server di terze parti e quelli del provider SSO, le app mobili non utilizzano questo metodo di comunicazione diretta. Invece, le app mobili comunicano tra loro tramite il tuo dispositivo.
Quando si utilizza OAuth su un sito Web, Facebook fornisce il token di accesso e le informazioni di autenticazione direttamente ai server di terze parti. Queste informazioni possono quindi essere convalidate prima di accedere all'utente o accedere a qualsiasi dato personale.
I ricercatori hanno scoperto che una grande percentuale di applicazioni Android mancava questa convalida. Invece i server di Facebook inviano il token di accesso all'app Facebook. Il token di accesso verrà quindi consegnato all'app di terze parti. L'app di terze parti ti consentirebbe quindi di accedere, senza verificare con i server di Facebook che le informazioni dell'utente fossero legittime.
L'utente malintenzionato può accedere come se stessi, attivando la richiesta di token OAuth. Una volta che Facebook ha autorizzato il token, potrebbero inserirsi tra i server di Facebook e l'app di Facebook. L'utente malintenzionato potrebbe quindi modificare l'ID utente sul token in quello della vittima. Lo username è di solito anche informazioni pubblicamente disponibili, quindi ci sono pochissimi ostacoli per l'attaccante. Una volta modificato l'ID utente, ma l'autorizzazione è ancora concessa, l'app di terze parti effettuerà il login sotto l'account della vittima.
Questo tipo di exploit è noto come attacco man-in-the-middle (MitM) What Is a Man-in-the-Middle Attack? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi di più . È qui che l'attaccante è in grado di intercettare e modificare i dati, mentre le due parti credono di comunicare direttamente tra loro.
Come questo ti influenza?
Se un utente malintenzionato è in grado di ingannare un'app facendogli credere di essere te stesso, l'hacker ottiene l'accesso a tutte le informazioni memorizzate in quel servizio. I ricercatori hanno creato la tabella sotto riportata che elenca alcune delle informazioni che potresti esporre su diversi tipi di app.
Alcuni tipi di informazioni sono meno dannosi di altri. È meno probabile che tu sia preoccupato di esporre la tua cronologia delle notizie rispetto a tutti i tuoi piani di viaggio o l'abilità di inviare e ricevere messaggi privati a tuo nome. È un promemoria che fa riflettere i tipi di informazioni che regolarmente affidiamo a terze parti e le conseguenze del suo uso improprio.
Dovresti preoccuparti?
I ricercatori hanno scoperto che il 41,21% delle 600 app più popolari che supportano SSO nel Google Play Store erano vulnerabili all'attacco MitM. Ciò potrebbe potenzialmente lasciare miliardi di utenti in tutto il mondo esposti a questo tipo di attacco. Il team ha condotto le loro ricerche su Android ma credono che possa essere replicato su iOS. Ciò potrebbe potenzialmente lasciare milioni di app sui due maggiori sistemi operativi mobili vulnerabili a questo attacco.
Al momento della stesura di questo documento, non sono state rilasciate dichiarazioni ufficiali dall'Internet Engineering Task Force (IETF) che ha sviluppato le specifiche OAuth 2.0. I ricercatori hanno rifiutato di nominare le app interessate, quindi dovresti prestare attenzione quando utilizzi SSO nelle app mobili.
C'è un rivestimento d'argento. I ricercatori hanno già allertato Google e Facebook e altri fornitori di SSO dell'exploit. Inoltre, stanno lavorando a fianco degli sviluppatori di terze parti interessati per risolvere il problema.
Cosa puoi fare ora?
Mentre una correzione potrebbe essere in arrivo, ci sono Un sacco delle app interessate da aggiornare. Probabilmente ci vorrà del tempo, quindi potrebbe non valere la pena utilizzare SSO nel frattempo. Invece, quando ti registri per un nuovo account, assicurati di creare una password sicura 6 Suggerimenti per la creazione di una password infrangibile che puoi ricordare 6 Suggerimenti per la creazione di una password infrangibile che puoi ricordare Se le tue password non sono uniche e indistruttibili, potresti apri pure la porta principale e invita i ladri a pranzo. Leggi di più che non dimenticherai. In alternativa, o utilizza un gestore di password Come i gestori di password mantengono le password sicure Come i gestori di password mantengono le password sicure Anche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti proteggono. Leggi di più per fare il sollevamento pesi per te.
È buona norma condurre il controllo di sicurezza personale. Proteggersi con un controllo annuale sulla sicurezza e sulla privacy Proteggersi con un controllo annuale sulla sicurezza e sulla privacy Siamo quasi due mesi nel nuovo anno, ma c'è ancora tempo per una soluzione positiva. Dimentica di bere meno caffeina - stiamo parlando di adottare misure per salvaguardare la sicurezza e la privacy online. Leggi di più di tanto in tanto. Google ti premierà anche in cloud storage Questo Google Checkup di 5 minuti ti darà 2 GB di spazio libero Questo Google Checkup di 5 minuti ti darà 2 GB di spazio libero Se impieghi cinque minuti per eseguire questo controllo di sicurezza, Google ti offre 2 GB di spazio libero su Google Drive. Leggi di più per eseguire il check-up. Questo è il momento ideale per verificare quali app hai autorizzato ad utilizzare Social Login? Segui questi passaggi per proteggere i tuoi account utilizzando l'accesso social? Segui questi passaggi per proteggere i tuoi account Se stai utilizzando un servizio di accesso social (come Google o Facebook), potresti pensare che tutto sia sicuro. Non è così - è tempo di dare un'occhiata ai punti deboli degli accessi social. Leggi di più sui tuoi account SSO. Questo è particolarmente importante su un sito come Facebook Come gestire i tuoi accessi Facebook di terze parti [Consigli settimanali di Facebook] Come gestire i tuoi accessi Facebook di terze parti [Consigli settimanali di Facebook] Quante volte hai permesso a un sito di terze parti di avere accedi al tuo account Facebook? Ecco come puoi gestire le tue impostazioni. Per saperne di più, che memorizza un'enorme quantità di informazioni molto personali Come scaricare in massa i tuoi dati di Facebook e quali informazioni Gli archivi contengono Come scaricare in massa i tuoi dati di Facebook e quali informazioni Gli archivi contengono In seguito a una decisione giudiziaria europea, Facebook ha recentemente aggiornato la funzione che consente agli utenti di scaricare un archivio dei propri dati personali. L'opzione di archiviazione è disponibile dal 2010 e include foto, video e messaggi, ... Per saperne di più .
Pensi che sia ora di allontanarsi dal Single Sign-On? Quale pensi sia il miglior metodo di accesso? Sei stato colpito da questo exploit? Fateci sapere nei commenti qui sotto!
Crediti immagine: Marc Bruxelle / Shutterstock
Scopri di più su: Facebook, Smartphone Security.