微慑信息网

OAuth 2.0 协议漏洞允许黑客远程登录 10 亿应用账户、窃取数据

外媒报道,这周五在 201 6欧洲黑帽会议上,来自香港中文大学的三位研究员展示(PPT)了一种针对 Android 和 iOS 应用程序无需用户授权即可登录 Facebook 、谷歌和新浪微博账户的方法,而此类数百种应用程序已被下载超过二十四亿次、超过十亿账户受到威胁。

研究员称大多数手机应用支持单点登录( SSO )功能 。 SSO 是目前比较流行的企业业务整合的解决方案之一,用户只需要登录一次就可以访问所有相互信任的应用系统。然而,该功能使用了不安全的 Oauth2.0 协议,Oauth 是允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表)而无需将用户名和密码提供给第三方应用的协议。

理论上,当用户通过 OAuth 协议登录第三方应用程序时,应用程序会与ID提供商(例如 Facebook )检查其是否具有正确的身份验证详细信息。然而,研究人员发现,应用程序的开发人员没有正确检查ID提供商(例如 Facebook )发送的信息有效性。忽略了验证用户和ID提供商是否有关联,只验证ID提供商(例如 Facebook )信息的真伪。攻击者可利用OAuth协议漏洞通过修改服务器设置伪装成来自 Facebook 的数据,从而发动中间人攻击登录账号。

稿源:本站翻译整理,封面来源:百度搜索

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » OAuth 2.0 协议漏洞允许黑客远程登录 10 亿应用账户、窃取数据

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册