Hoe miljoenen apps kwetsbaar zijn voor een enkele beveiligingshack
Op de Black Hat Europe-beveiligingsconferentie van dit jaar presenteerden twee onderzoekers van de Chinese Hong Kong University onderzoek dat een exploit aantoonde die invloed had op Android-apps die mogelijk meer dan één miljard geïnstalleerde applicaties kwetsbaar zouden maken voor aanvallen..
De exploit vertrouwt op een man-in-the-middle aanval van de mobiele implementatie van de OAuth 2.0-autorisatienorm. Dat klinkt heel technisch, maar wat betekent het eigenlijk en is uw gegevens veilig?
Wat is OAuth?
OAuth is een open standaard die door veel websites en apps wordt gebruikt 3 Essentiële beveiligingsvoorwaarden die u moet begrijpen 3 Essentiële beveiligingsvoorwaarden die u moet begrijpen Verward door codering? In de war gebracht door OAuth, of versteend door Ransomware? Laten we een paar van de meest gebruikte beveiligingsvoorwaarden bekijken, en precies wat ze betekenen. Meer lezen om u in te loggen bij een app of website van derden door een account te gebruiken van een van de vele OAuth-providers. Enkele van de meest voorkomende en bekende voorbeelden zijn Google, Facebook en Twitter.
Met de knop Eenmalige aanmelding (SSO) kunt u toegang verlenen tot uw accountgegevens. Wanneer u op de Facebook-knop klikt, zoekt de app of website van derden naar een toegangstoken en geeft deze toegang tot uw Facebook-gegevens.
Als dit token niet wordt gevonden, wordt u gevraagd de toegang van derden tot uw Facebook-account toe te staan. Zodra u dit hebt goedgekeurd, ontvangt Facebook een bericht van de derde partij met de vraag om een toegangstoken.
Facebook antwoordt met een token en verleent de derde toegang tot de informatie die u hebt opgegeven. U verleent bijvoorbeeld toegang tot uw basisprofielinformatie en vriendenlijst, maar niet uw foto's. De derde partij ontvangt het token en biedt u de mogelijkheid om in te loggen met uw Facebook-inloggegevens. Zolang het token niet verloopt, heeft het toegang tot de informatie die u hebt geautoriseerd.
Dit lijkt een geweldig systeem. U moet minder wachtwoorden onthouden en kunt u eenvoudig aanmelden en uw gegevens verifiëren met een account dat u al hebt. De SSO-knoppen zijn nog nuttiger op mobiele apparaten bij het maken van nieuwe wachtwoorden, waarbij het autoriseren van een nieuw account tijdrovend kan zijn.
Wat is het probleem?
Het meest recente OAuth-framework - OAuth 2.0 - werd uitgebracht in oktober 2012 en was niet ontworpen voor mobiele apps. Dit heeft ertoe geleid dat veel app-ontwikkelaars OAuth zelfstandig moesten implementeren, zonder advies over hoe dit veilig moet worden gedaan.
Hoewel OAuth op websites directe communicatie tussen de servers van derden en SSO-providers gebruikt, maken mobiele apps geen gebruik van deze directe communicatiemethode. In plaats daarvan communiceren mobiele apps met elkaar via uw apparaat.
Wanneer OAuth op een website wordt gebruikt, levert Facebook de toegangstoken- en authenticatiegegevens rechtstreeks aan servers van derden. Deze informatie kan vervolgens worden gevalideerd voordat de gebruiker wordt aangemeld bij of toegang krijgt tot persoonlijke gegevens.
De onderzoekers ontdekten dat een groot percentage Android-applicaties deze validatie misten. In plaats daarvan sturen de servers van Facebook het toegangstoken naar de Facebook-app. Het toegangstoken wordt vervolgens aan de app van derden geleverd. Met de app van derden kunt u vervolgens inloggen zonder te verifiëren met de servers van Facebook dat de gebruikersinformatie legitiem was.
De aanvaller kan zichzelf aanmelden en het OAuth-tokenverzoek activeren. Zodra Facebook het token heeft geautoriseerd, kunnen ze zichzelf tussen de servers van Facebook en de Facebook-app invoegen. De aanvaller kan vervolgens het gebruikers-ID op het token wijzigen in dat van het slachtoffer. De gebruikersnaam is meestal ook openbaar beschikbare informatie, dus er zijn weinig obstakels voor de aanvaller. Nadat de gebruikers-ID is gewijzigd, maar de machtiging nog steeds is verleend, logt de app van derden in onder het account van het slachtoffer.
Dit type van uitbuiting staat bekend als een man-in-the-middle (MitM) aanval. Wat is een Man-in-the-Middle Aanval? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Lees verder . Hier kan de aanvaller gegevens onderscheppen en wijzigen, terwijl de twee partijen denken dat ze rechtstreeks met elkaar communiceren.
Wat heeft dit voor effect op jou?
Als een aanvaller een app voor de gek kan houden door te geloven dat hij jou is, krijgt de hacker toegang tot alle informatie die je in die service opslaat. De onderzoekers hebben de onderstaande tabel gemaakt met een overzicht van de informatie die u mogelijk over verschillende typen apps kunt zien.
Sommige soorten informatie zijn minder schadelijk dan andere. U maakt zich minder snel zorgen over het blootleggen van uw nieuwsleesgeschiedenis dan al uw reisplannen, of over de mogelijkheid om privéberichten op uw naam te verzenden en ontvangen. Het is een ontnuchterende herinnering aan de soorten informatie die we regelmatig toevertrouwen aan derden - en de gevolgen van het misbruik ervan.
Moet je je zorgen maken?
De onderzoekers ontdekten dat 41.21% van de 600 populairste apps die SSO in de Google Play Store ondersteunen, kwetsbaar waren voor de MitM-aanval. Dit kan mogelijk miljarden gebruikers over de hele wereld blootstellen aan dit type aanval. Het team voerde hun onderzoek uit op Android, maar zij geloven dat het kan worden gerepliceerd op iOS. Hierdoor zouden mogelijk miljoenen apps op de twee grootste mobiele besturingssystemen kwetsbaar zijn voor deze aanval.
Op het moment van schrijven zijn er geen officiële verklaringen van de Internet Engineering Task Force (IETF) die de OAuth 2.0-specificaties hebben ontwikkeld. De onderzoekers hebben geweigerd de betreffende apps een naam te geven, dus wees voorzichtig bij het gebruik van SSO in mobiele apps.
Er is een zilveren voering. De onderzoekers hebben Google en Facebook en andere SSO-aanbieders al op de hoogte gesteld van de exploit. Bovendien werken ze samen met de betrokken externe ontwikkelaars om het probleem op te lossen.
Wat kan je nu doen?
Terwijl een oplossing misschien onderweg is, zijn er wel veel van beïnvloede apps die moeten worden bijgewerkt. Dit zal waarschijnlijk enige tijd duren, dus het kan de moeite waard zijn om in de tussentijd geen SSO te gebruiken. In plaats daarvan, wanneer u zich registreert voor een nieuw account, zorg ervoor dat u een sterk wachtwoord maakt 6 Tips voor het maken van een onbreekbaar wachtwoord dat u kunt onthouden 6 Tips voor het maken van een onbreekbaar wachtwoord dat u kunt onthouden Als uw wachtwoorden niet uniek en onbreekbaar zijn, kunt u open ook de voordeur en nodig de overvallers uit voor de lunch. Lees meer dat u niet zult vergeten. Ofwel, of gebruik een wachtwoordbeheerder Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Wachtwoorden die moeilijk te kraken zijn, zijn ook moeilijk te onthouden. Wil je veilig zijn? U hebt een wachtwoordbeheerder nodig. Dit is hoe ze werken en hoe ze je beschermen. Lees meer om het zware werk voor u te doen.
Het is een goede gewoonte om uw eigen beveiligingscontrole uit te voeren Bescherm uzelf met een jaarlijkse beveiliging en privacycheck Bescherm jezelf met een jaarlijkse beveiliging en privacycheck We hebben bijna twee maanden in het nieuwe jaar, maar er is nog steeds tijd om een positieve oplossing te vinden. Vergeet minder cafeïne te drinken - we hebben het over stappen ondernemen om online veiligheid en privacy te waarborgen. Meer lezen van tijd tot tijd. Google beloont je zelfs in cloudopslag Deze Google Checkup van 5 minuten geeft je 2 GB vrije ruimte Deze Google-controle van 5 minuten levert je 2 GB vrije ruimte op Als je vijf minuten nodig hebt om door deze beveiligingscontrole te gaan, zal Google geef je 2 GB gratis opslagruimte op Google Drive. Lees meer voor het uitvoeren van hun controle. Dit is een ideaal moment om te bekijken welke apps u toestemming heeft gegeven voor het gebruik van sociale login? Neem deze stappen om uw accounts te beveiligen met behulp van sociale login? Neem deze stappen om uw accounts te beveiligen Als u een sociale inlogservice gebruikt (zoals Google of Facebook), dan denkt u misschien dat alles veilig is. Niet zo - het is tijd om de zwakke punten van sociale logins te bekijken. Lees meer over uw SSO-accounts. Dit is vooral belangrijk op een site als Facebook. Hoe je Facebook-logins van derden te beheren [Wekelijkse Facebook-tips] Hoe je Facebook-logins van derden kunt beheren [Wekelijkse Facebook-tips] Hoe vaak heb je toegestaan dat een site van een derde partij toegang tot je Facebook-account? Hier leest u hoe u uw instellingen kunt beheren. Lees meer, dat een enorme hoeveelheid zeer persoonlijke informatie opslaat Hoe u uw Facebook-gegevens in bulk kunt downloaden en welke informatie de archieven bevatten Hoe uw Facebook-gegevens in bulk te downloaden & welke informatie de archieven bevatten Naar aanleiding van een Europese rechterlijke beslissing heeft Facebook recentelijk de functie geüpgraded: stelt gebruikers in staat om een archief met hun persoonlijke gegevens te downloaden. De archiefoptie is beschikbaar sinds 2010 en bevat foto's, video's en berichten, ... Lees meer .
Denk je dat het tijd is om af te stappen van Single Sign On? Wat is volgens jou de beste inlogmethode? Ben je getroffen door deze exploit? Laat het ons weten in de comments hieronder!
Beeldmateriaal: Marc Bruxelle / Shutterstock
Ontdek meer over: Facebook, Smartphonebeveiliging.