第64期安全事件
| 英文標題 | Over 1 Billion Mobile App Accounts can be Hijacked Remotely with this Simple Hack |
| 中文標題 | OAuth2.0部署不當,數十億Android App賬戶存泄露風險 |
| 作者及單位 | Swati Khandelwal;Thehackernews |
| 內容概述 |
近日,研究人員發現,眾多支持單點登錄的App沒有正確部署OAuth2.0認證協議,攻擊者可利用此漏洞遠程登陸任何用戶的App賬戶。 研究人員發現,許多AndroidApp的開發者并沒有正確地核對ID提供方發來的信息的有效性。這些第三方App并沒有驗證訪問token,以核查用戶與ID提供方是否關聯,第三方App服務器只檢查了這個信息是否由一個有效的ID提供方發出。這種部署給了攻擊者可乘之機,他們可以下載存在此漏洞的App,使用自己的信息登錄,通過建立服務器,修改ID提供方發送的數據,將自己的用戶名改為目標對象的用戶名。攻擊者可以利用這種方法,泄露用戶敏感信息,或者以用戶名義在相應App上操作。 研究人員發現有OAuth部署問題的各類App總共有24億的下載量,專家估計將有10億不同的手機App賬戶可能被劫持。 |
| 新聞鏈接 |
http://thehackernews.com/2016/11/android-oauth-hacking.html |