OAuth 2.0協(xié)議使用不當(dāng)導(dǎo)致數(shù)十億APP賬戶可被遠(yuǎn)程劫持

前言

香港中文大學(xué)的三位安全研究員Ronghai Yang、Wing Cheong Lau、Tianyu Liu發(fā)現(xiàn)了一個(gè)極其危險(xiǎn)的安全隱患，超過10億的移動APP（包括安卓版本和iOS版本）都可以在用戶完全不知情的情況下被遠(yuǎn)程劫持。

他們?nèi)话踩芯繂T發(fā)現(xiàn)大部分流行的移動應(yīng)用程序都支持單點(diǎn)登錄（SSO）服務(wù)，也就是說用戶只需登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)，但是這些應(yīng)用程序卻以不安全的方式執(zhí)行了OAuth 2.0。

OAuth 2.0簡介

OAuth 2.0是一個(gè)開放的認(rèn)證標(biāo)準(zhǔn)，廣泛應(yīng)用在各個(gè)社交網(wǎng)站上。有了它，用戶便可以直接通過谷歌、Facebook、新浪賬戶登錄其他第三方應(yīng)用。用戶完全不需要額外提供用戶名或者密碼就可以直接登錄第三方應(yīng)用。

當(dāng)用戶使用OAuth 登錄第三方應(yīng)用時(shí)，應(yīng)用會請求核對ID。拿Facebook舉例，如果用戶使用Facebook賬戶登錄第三方應(yīng)用時(shí)，OAuth 就需要從Facebook拿到訪問令牌，然后發(fā)送給第三方應(yīng)用。

當(dāng)訪問令牌被傳送到第三方應(yīng)用上時(shí)，應(yīng)用的服務(wù)器會請求查看來自Facebook的用戶認(rèn)證信息，然后進(jìn)行核實(shí)，最后才會允許用戶以Facebook賬戶登錄第三方應(yīng)用。

漏洞的影響及危害

香港中文大學(xué)的三位安全研究員發(fā)現(xiàn)，大部分的安卓應(yīng)用的開發(fā)者都不會去核實(shí)來自谷歌、Facebook、新浪的賬戶信息。這些應(yīng)用的服務(wù)器不會驗(yàn)證OAuth 信息（也就是用戶的認(rèn)證信息），它們只會檢查這些ID是否和從ID供應(yīng)商那里檢索到的匹配。

基于這一天大的錯(cuò)誤，遠(yuǎn)程攻擊者可以下載一個(gè)存在問題應(yīng)用，先用自己的信息登錄，然后再將用戶名更改成任意他想攻擊的目標(biāo)。之后，攻擊者便可以完全控制住應(yīng)用程序上的數(shù)據(jù)了。

影響是什么呢？如果黑客入侵進(jìn)了受害者的旅游APP，他們就能知道受害者的行程；如果他們?nèi)肭诌M(jìn)酒店預(yù)訂APP，他們就可以預(yù)定一個(gè)房間，并且讓受害者支付；或者是竊取受害者的個(gè)人信息，比如家庭住址、銀行詳細(xì)信息。

“OAuth 協(xié)議非常的復(fù)雜，很多第三方開發(fā)者都是半桶水晃蕩，沒有什么能力。他們大部分都是借鑒使用谷歌和Facebook的一些功能，但是如果他們不能正確的使用，那么他們開發(fā)出來的APP將會出很大的安全風(fēng)險(xiǎn)?！?/p>

Ronghai Yang、Wing Cheong Lau、Tianyu Liu已經(jīng)在美國和中國發(fā)現(xiàn)了數(shù)百款安卓應(yīng)用在使用SSO服務(wù)，并且下載量超過24億次，但是不幸的是都存在該問題。據(jù)安全研究員們估計(jì)，有超過10億個(gè)不同的移動APP賬戶存在被攻擊者劫持的風(fēng)險(xiǎn)。

后記

安全研究員們還沒有測試他們的exp在iPhone手機(jī)上是否適用，但是他們相信他們的攻擊方式對所有存在漏洞的應(yīng)用都有效，包括iOS移動操作系統(tǒng)。

“盡管我們現(xiàn)在的攻擊方式只在安卓平臺上進(jìn)行了演示，但是exp本身就與平臺無關(guān)，只要用戶使用了基于OAuth 2.0的SSO服務(wù)，不管它是安卓版的移動應(yīng)用還是iOS版的移動應(yīng)用，他都將受影響。”

Ronghai Yang、Wing Cheong Lau在Black Hat Europe公開了他們的這一發(fā)現(xiàn)。

詳細(xì)細(xì)節(jié)文檔：https://www.blackhat.com/docs/eu-16/materials/eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。