中大研究員發表 OAuth 2.0 漏洞報告 10 億帳戶受影響

3 名來自香港中文大學的安全研究人員於上周揭露,基於令牌的授權開放標準 OAuth 2.0 含有一個執行瑕疵,若再加上開發人員未留意程式與該標準的安全互動,將允許駭客挾持使用者帳號。在所測試的 600 款行動程式中,約有 41.2% 擁有該漏洞,殃及 10 億個用戶帳號。

研究報告名為「輕鬆登入10億個基於OAuth 2.0的行動程式帳號」(Signing into One Billion Mobile App Account Effortlessly with OAuth2.0),研究人員打造了一個攻擊程式,檢查了中國及美國市場最受歡迎的600款行動程式,這些程式都支援基於OAuth 2.0的SSO,發現其中的42.1%允許遠端駭客在使用者完全不需與之互動也未察覺的情況下遠端登入使用者的行動程式,危及10億個帳號。

報告發現支援新浪賬號登入的中國應用有約70%賬號容易被劫持,相比之下Facebook是15.25%,Google是8%。存在漏洞的移動應用下載量超過24億,大部分存在漏洞的移動應用使用的是新浪的登錄,研究人員沒有公佈應用的名字,只是透露了這些移動應用的類型和下載量,通過這些訊息還是有可能大概猜測出哪些應用存在漏洞。

研究員指出,一來 OAuth2.0 已被行動程式的系統設定及操作環境所覆蓋,二來OAuth2.0並未定義基於SSO程序時行動程式與後端伺服器互動時所需的安全要求,再加上身分供應商所打造的各種以OAuth2.0為基礎的客製化API缺乏使用上的安全準則,而出現了安全缺口。

迄今已有許多主流身分供應商採用 OAuth 2.0 以提供單一登入(Single-Sign-On,SSO)服務,包括 Google、Facebook 與新浪網等,同時也有大量的行動程式支援 SSO。

Facebook 本身在一定程度上緩解了此攻擊,因為它自 2014 年 5 月以來一直支援證書鎖定,因此不接受遭篡改的訊息。但是仍有一個顧慮的,研究員了解到,為了向後兼容,Facebook 使用公共用戶 ID 識別早期的移動應用使用者,因此,如果用戶在2014 年 5 月之前通過 OAuth 登入應用,他們仍然會被這攻擊影響。

報告建議身份提供者,如Facebook,Google 和新浪改善他們對開發人員的安全建議,信任應該完全來自身份提供商的伺服器,而不是由客戶端應用程式發出的。 此外,研究員建議身份提供者發出私有標識符而不是全球通用標識符,身份提供者還應該通過諸如OAuth 2.0和OpenID Connect之類的協議來提高應用的安全測試並把 SSO 包括在內。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *