Wie Millionen von Apps für einen einzigen Sicherheits-Hack anfällig sind
Bei der diesjährigen Sicherheitskonferenz von Black Hat Europe stellten zwei Forscher der chinesischen Hong Kong University Untersuchungen vor, die einen Exploit zeigten, der sich auf Android-Apps auswirkte, die möglicherweise über eine Milliarde installierter Anwendungen für Angriffe anfällig machen könnten.
Der Exploit beruht auf einem Man-in-the-Middle-Angriff der mobilen Implementierung des OAuth 2.0-Autorisierungsstandards. Das hört sich sehr technisch an, aber was bedeutet das eigentlich und sind Ihre Daten sicher??
Was ist OAuth??
OAuth ist ein offener Standard, der von vielen Websites und Apps verwendet wird. 3 Grundlegende Sicherheitsbestimmungen, die Sie verstehen müssen 3 Wesentliche Sicherheitsbestimmungen, die Sie verstehen müssen Verwirrt durch Verschlüsselung? Verwirrt von OAuth oder versteinert von Ransomware? Lassen Sie uns einige der am häufigsten verwendeten Sicherheitsbegriffe auf den neuesten Stand bringen und genau das, was sie bedeuten. Lesen Sie Weitere Informationen, damit Sie sich mit einem Konto eines der vielen OAuth-Anbieter bei einer App oder Website eines Drittanbieters anmelden können. Einige der bekanntesten und bekanntesten Beispiele sind Google, Facebook und Twitter.
Mit der Schaltfläche Single Sign On (SSO) können Sie Zugriff auf Ihre Kontoinformationen gewähren. Wenn Sie auf die Facebook-Schaltfläche klicken, sucht die App oder Website eines Drittanbieters nach einem Zugriffstoken und gewährt ihm Zugriff auf Ihre Facebook-Informationen.
Wenn dieses Token nicht gefunden wird, werden Sie aufgefordert, den Zugriff Dritter auf Ihr Facebook-Konto zu erlauben. Sobald Sie dies autorisiert haben, erhält Facebook eine Nachricht von dem Drittanbieter, die nach einem Zugriffstoken fragt.
Facebook antwortet mit einem Token und gewährt dem Drittanbieter Zugriff auf die von Ihnen angegebenen Informationen. Beispielsweise gewähren Sie Zugriff auf Ihre grundlegenden Profilinformationen und die Freundesliste, nicht jedoch auf Ihre Fotos. Der Drittanbieter erhält das Token und ermöglicht Ihnen die Anmeldung mit Ihren Facebook-Anmeldeinformationen. Solange das Token nicht abläuft, hat es Zugriff auf die von Ihnen autorisierten Informationen.
Das scheint ein tolles System zu sein. Sie müssen sich weniger Passwörter merken und müssen sich leicht anmelden und Ihre Informationen mit einem bereits bestehenden Konto überprüfen. Die SSO-Schaltflächen sind auf mobilen Geräten noch nützlicher, wenn neue Kennwörter erstellt werden und die Autorisierung eines neuen Kontos zeitraubend sein kann.
Was ist das Problem?
Das neueste OAuth-Framework - OAuth 2.0 - wurde im Oktober 2012 veröffentlicht und war nicht für mobile Apps konzipiert. Dies hat dazu geführt, dass viele App-Entwickler OAuth eigenständig implementieren mussten, ohne dass Anweisungen dazu gegeben wurden, wie dies sicher erfolgen sollte.
Während OAuth auf Websites die direkte Kommunikation zwischen den Servern des Drittanbieters und dem SSO-Anbieter verwendet, verwenden mobile Apps diese direkte Kommunikationsmethode nicht. Stattdessen kommunizieren mobile Apps über Ihr Gerät miteinander.
Bei der Verwendung von OAuth auf einer Website liefert Facebook das Zugriffstoken und die Authentifizierungsinformationen direkt an die Server von Drittanbietern. Diese Informationen können dann überprüft werden, bevor der Benutzer bei persönlichen Daten angemeldet wird oder auf personenbezogene Daten zugegriffen wird.
Die Forscher stellten fest, dass ein großer Prozentsatz von Android-Anwendungen diese Validierung nicht hatte. Stattdessen senden die Server von Facebook das Zugriffstoken an die Facebook-App. Das Zugriffstoken wird dann an die Drittanbieter-App übermittelt. Über die App eines Drittanbieters können Sie sich dann anmelden, ohne bei den Servern von Facebook zu überprüfen, ob die Benutzerinformationen legitim sind.
Der Angreifer kann sich als sich selbst anmelden und die OAuth-Tokenanforderung auslösen. Sobald Facebook das Token autorisiert hat, können sie sich zwischen den Servern von Facebook und der Facebook-App einfügen. Der Angreifer kann dann die Benutzer-ID des Tokens in das Opfer des Opfers ändern. Der Benutzername ist in der Regel auch öffentlich verfügbar, so dass für den Angreifer nur wenige Barrieren bestehen. Nachdem die Benutzer-ID geändert wurde, die Berechtigung jedoch weiterhin erteilt wurde, wird sich die Drittanbieter-App unter dem Konto des Opfers anmelden.
Diese Art von Exploit wird als Man-in-the-Middle-Angriff (MitM) bezeichnet. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Weiterlesen . Hier kann der Angreifer Daten abfangen und ändern, während die beiden Parteien der Meinung sind, dass sie direkt miteinander kommunizieren.
Wie wirkt sich das auf Sie aus??
Wenn ein Angreifer in der Lage ist, eine App zu täuschen, in dem Glauben, dass er Sie selbst sind, erhält der Hacker Zugriff auf alle Informationen, die Sie in diesem Dienst speichern. Die Forscher erstellten die unten abgebildete Tabelle, in der einige der Informationen aufgeführt sind, die Sie möglicherweise für verschiedene Arten von Apps verfügbar machen.
Einige Arten von Informationen sind weniger schädlich als andere. Es ist weniger wahrscheinlich, dass Sie sich Sorgen machen müssen, ob Sie Ihre Nachrichten lesen möchten, als alle Ihre Reisepläne oder die Möglichkeit, private Nachrichten in Ihrem Namen zu senden und zu empfangen. Es ist eine ernüchternde Erinnerung an die Arten von Informationen, die wir regelmäßig Dritten anvertrauen - und die Folgen ihres Missbrauchs.
Sollten Sie sich Sorgen machen?
Die Forscher fanden heraus, dass 41,21% der 600 beliebtesten Apps, die SSO im Google Play Store unterstützen, anfällig für den MitM-Angriff waren. Dies könnte potenziell dazu führen, dass Milliarden von Benutzern dieser Art von Angriffen ausgesetzt sind. Das Team führte ihre Forschung auf Android durch, glaubt jedoch, dass es auf iOS repliziert werden kann. Dies würde möglicherweise Millionen von Apps auf den zwei größten mobilen Betriebssystemen für diesen Angriff anfällig machen.
Zum Zeitpunkt des Schreibens gab es keine offiziellen Aussagen der Internet Engineering Task Force (IETF), die die OAuth 2.0-Spezifikationen entwickelt hat. Die Forscher haben es abgelehnt, die betroffenen Apps zu benennen. Sie sollten daher vorsichtig sein, wenn Sie SSO für mobile Apps verwenden.
Es gibt ein Silberfutter. Die Forscher haben bereits Google und Facebook sowie andere SSO-Anbieter über den Exploit informiert. Darüber hinaus arbeiten sie mit den betroffenen Drittentwicklern zusammen, um das Problem zu beheben.
Was können Sie jetzt tun??
Während ein Fix möglicherweise auf dem Weg ist, gibt es viel der betroffenen Apps aktualisiert werden. Dies kann einige Zeit in Anspruch nehmen, weshalb es sich möglicherweise lohnt, SSO für die Zwischenzeit nicht zu verwenden. Stellen Sie stattdessen sicher, dass Sie bei der Registrierung für ein neues Konto ein sicheres Kennwort erstellen. 6 Tipps zum Erstellen eines unzerbrechlichen Kennworts, das Sie sich merken können 6 Tipps zum Erstellen eines unzerbrechlichen Kennworts, das Sie sich merken können Wenn Ihre Kennwörter nicht eindeutig und unzerbrechlich sind, können Sie dies tun Öffnen Sie auch die Haustür und laden Sie die Räuber zum Mittagessen ein. Lesen Sie mehr, das Sie nicht vergessen werden. Entweder das oder einen Passwort-Manager verwenden Wie Passwort-Manager Ihre Passwörter sicher aufbewahren Wie Passwort-Manager Ihre Passwörter sicher aufbewahren Passwörter, die schwer zu knacken sind, sind ebenfalls schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwortmanager. So funktionieren sie und wie schützen sie dich? Lesen Sie mehr, um das schwere Heben für Sie zu erledigen.
Es empfiehlt sich, eine eigene Sicherheitsüberprüfung durchzuführen. Sich selbst schützen mit einer jährlichen Sicherheits- und Datenschutzüberprüfung. Sich selbst schützen mit einer jährlichen Sicherheits- und Datenschutzüberprüfung. Wir sind fast zwei Monate im neuen Jahr, aber wir haben noch Zeit, um eine positive Lösung zu finden. Vergessen Sie nicht, weniger Koffein zu trinken - wir sprechen davon, Maßnahmen zu ergreifen, um Online-Sicherheit und Datenschutz zu gewährleisten. Lesen Sie von Zeit zu Zeit mehr. Google belohnt Sie sogar im Cloud-Speicher. Diese 5-Minuten-Überprüfung von Google gibt Ihnen 2 GB freien Speicherplatz. Diese 5-Minuten-Überprüfung von Google gibt Ihnen 2 GB freien Speicherplatz. Wenn Sie sich fünf Minuten für diese Sicherheitsüberprüfung entscheiden, wird Google dies tun Geben Sie 2 GB freien Speicherplatz auf Google Drive. Lesen Sie mehr, um die Überprüfung durchzuführen. Dies ist ein idealer Zeitpunkt, um herauszufinden, welche Apps Sie zur Verwendung von Social Login berechtigt haben? Führen Sie diese Schritte aus, um Ihre Konten mit Social Login zu sichern? Führen Sie diese Schritte aus, um Ihre Konten zu schützen Wenn Sie einen Social-Login-Dienst (wie Google oder Facebook) verwenden, denken Sie möglicherweise, dass alles sicher ist. Nicht so - es ist an der Zeit, sich die Schwächen von Social Logins anzuschauen. Lesen Sie mehr zu Ihren SSO-Konten. Dies ist besonders wichtig auf einer Site wie Facebook. So verwalten Sie Ihre Drittanbieter-Facebook-Anmeldungen [Wöchentliche Facebook-Tipps] Wie verwalten Sie Ihre Drittanbieter-Facebook-Anmeldungen [Wöchentliche Facebook-Tipps] Wie oft haben Sie einer Drittanbieter-Website die Berechtigung dazu gegeben Zugriff auf Ihr Facebook-Konto? So können Sie Ihre Einstellungen verwalten. Lesen Sie mehr, in dem eine enorme Menge sehr persönlicher Informationen gespeichert wird. Wie Sie Ihre Facebook-Daten herunterladen und welche Informationen Sie in den Archiven finden. Wie Sie Ihre Facebook-Daten in großen Mengen herunterladen und welche Informationen das Archiv enthalten? Nach einer europäischen Gerichtsentscheidung hat Facebook kürzlich die Funktion aktualisiert Benutzer können ein Archiv ihrer persönlichen Daten herunterladen. Die Archivoption ist seit 2010 verfügbar und umfasst Fotos, Videos und Nachrichten,… Mehr lesen .
Denken Sie, dass es Zeit ist, sich von Single Sign On zu entfernen? Was ist Ihrer Meinung nach die beste Anmeldemethode? Wurden Sie von diesem Exploit betroffen? Lass es uns in den Kommentaren wissen!
Bildnachweise: Marc Bruxelle / Shutterstock
Erfahren Sie mehr über: Facebook, Smartphone-Sicherheit.