$config[links-horizontal-adaptive] not found
$config[links-horizontal-adaptive] not found
Computer spyware scanner

Этот простой взлом может захватить более 1 миллиарда аккаунтов Android-приложений

Robert_Gaines_and_George_Fleming | Контакты

Этот простой взлом может захватить более 1 миллиарда аккаунтов Android-приложений - Линукс 2023
Этот простой взлом может захватить более 1 миллиарда аккаунтов Android-приложений - Линукс 2023
Anonim
Image
Image

Короткие байты Три исследователя из Китайского университета Гонконга отсканировали несколько приложений Google в магазине приложений для США и Китая и обнаружили серьезную уязвимость. Этот недостаток заключается в том, как OAuth 2.0 реализован в этих приложениях. Из-за неправильных действий хакер может удаленно использовать приложение жертвы и получить доступ к личной информации.

Группа исследователей из Гонконга нашла метод, позволяющий без особых усилий атаковать многочисленные учетные записи мобильных приложений. Они сказали, что эти приложения были загружены более 1 миллиарда раз.

Ronghai Yang, Wing Cheong Lau и Tianyu Liu из Китайского университета Гонконга рассмотрели 600 самых популярных приложений для Android в США и Китае. Из них 182 приложения, то есть 41 процент от общего числа, поддерживают единый вход.

Исследователи смогли обнаружить проблемы, связанные с OAuth 2.0. Для тех, кто не знает, это стандарт, который позволяет пользователям проверять свои логины в сторонних приложениях, используя учетные записи Google или Facebook.

В чем проблема с OAuth 2.0, который подвергает риску приложения?

Обычно, когда пользователь входит в какую-либо службу с помощью OAuth, приложения выполняют полную проверку с поставщиком идентификаторов, например с Google, Facebook и т. Д. Если данные совпадают, OAuth получает маркер доступа от поставщика идентификаторов. Это позволяет приложению / службе разрешить пользователю входить в систему, используя свои учетные данные Facebook или Google.

Тем не менее, исследователи обнаружили, что во множестве приложений для Android разработчики неправильно проверяли достоверность информации, отправляемой поставщиком идентификаторов. По словам Forbes, ошибки включали в себя неспособность проверить подпись, прикрепленную к аутентификационной информации, полученной из Google и Facebook. Часто сервер приложений проверяет только идентификатор пользователя, полученный от поставщика идентификаторов.
Тем не менее, исследователи обнаружили, что во множестве приложений для Android разработчики неправильно проверяли достоверность информации, отправляемой поставщиком идентификаторов. По словам Forbes, ошибки включали в себя неспособность проверить подпись, прикрепленную к аутентификационной информации, полученной из Google и Facebook. Часто сервер приложений проверяет только идентификатор пользователя, полученный от поставщика идентификаторов.
Это может позволить хакерам загрузить уязвимое приложение и войти в систему со своими учетными данными, а затем переключить имя пользователя цели с помощью сервера, настроенного для подделки данных, отправленных поставщиком идентификаторов. Это зло позволит хакерам получить полный контроль над справкой по данным в приложении. Хакеры также могут удаленно использовать приложение для входа без ведома жертвы.
Это может позволить хакерам загрузить уязвимое приложение и войти в систему со своими учетными данными, а затем переключить имя пользователя цели с помощью сервера, настроенного для подделки данных, отправленных поставщиком идентификаторов. Это зло позволит хакерам получить полный контроль над справкой по данным в приложении. Хакеры также могут удаленно использовать приложение для входа без ведома жертвы.

Wing Cheong Lau, один из исследователей, сказал, что, хотя ошибка является довольно простой, воздействие может быть серьезным. Протокол OAuth довольно сложен », - сказал он Forbes. «Многие сторонние разработчики являются магазинами ma и pa, у них нет такой возможности. Большую часть времени они используют рекомендации Google и Facebook, но если они не сделают это правильно, их приложения будут широко открыты ».

Считаете ли вы эту статью полезной? Не забудьте оставить свой отзыв в разделе комментариев ниже.

Популярная тема

Рекомендуемые

Наслаждайтесь чтением без помех в Интернете с помощью InstaRead [Chrome, Firefox]

MIUI Launcher Clone переносит домашний экран MIUI на все устройства Android

Скриншот Журнал помогает вам управлять скриншотами iPhone и iPad

Популярные за месяц

Лучшее место для размещения вашего Wi-Fi роутера - объясняет физика

Вирусное видео показывает, что курящий iPhone 7 Plus тает, Apple заявляет, что они «смотрят в это»

Не нравится Windows 10? Запустите Windows 1.01 в вашем браузере прямо сейчас

Превратите портреты в удивительные мультфильмы для iOS и Android с MomentCam

8 лучших видео плееров для Android

AutoSizer Авто Изменение размеров и Позиционирование Приложение Windows На Запуск

10 лучших веб-браузеров для Android

Перенос списков телефонов Excel в адресную книгу Outlook 2010

Установите разные шрифты для каждого приложения для Android с помощью PerAppFonts [Xposed]

Рекордер с тэгами: закладки точек в аудиозаписи на Android

Встряхните свое устройство Android, чтобы переключиться на другие обои

Vuze Remote позволяет управлять популярным торрент-клиентом с Android

Как предотвратить открытие дублирующихся вкладок в Firefox