第64期安全事件
英文标题 | Over 1 Billion Mobile App Accounts can be Hijacked Remotely with this Simple Hack |
中文标题 | OAuth2.0部署不当,数十亿Android App账户存泄露风险 |
作者及单位 | Swati Khandelwal;Thehackernews |
内容概述 |
近日,研究人员发现,众多支持单点登录的App没有正确部署OAuth2.0认证协议,攻击者可利用此漏洞远程登陆任何用户的App账户。 研究人员发现,许多AndroidApp的开发者并没有正确地核对ID提供方发来的信息的有效性。这些第三方App并没有验证访问token,以核查用户与ID提供方是否关联,第三方App服务器只检查了这个信息是否由一个有效的ID提供方发出。这种部署给了攻击者可乘之机,他们可以下载存在此漏洞的App,使用自己的信息登录,通过建立服务器,修改ID提供方发送的数据,将自己的用户名改为目标对象的用户名。攻击者可以利用这种方法,泄露用户敏感信息,或者以用户名义在相应App上操作。 研究人员发现有OAuth部署问题的各类App总共有24亿的下载量,专家估计将有10亿不同的手机App账户可能被劫持。 |
新闻链接 |
http://thehackernews.com/2016/11/android-oauth-hacking.html |