Ana Sayfa Güvenlik Milyonlarca Uygulama Tek Bir Güvenlik Hackine Nasıl Hassas Olabilir?

Milyonlarca Uygulama Tek Bir Güvenlik Hackine Nasıl Hassas Olabilir?

  • Michael Cain
  • 0
  • 2651
  • 555
reklâm

Bu yılki Black Hat Avrupa güvenlik konferansında Çin Hong Kong Üniversitesi'nden iki araştırmacı, bir milyardan fazla yüklü uygulamayı potansiyel olarak saldırıya açık bırakabilecek Android uygulamalarını etkileyen bir istismar olduğunu gösteren bir araştırma sundu..

Bu istismar, OAuth 2.0 yetkilendirme standardının mobil uygulamasının ortasında bir saldırıya dayanmaktadır. Kulağa çok teknik geliyor, ama ne anlama geliyor ve verileriniz güvende mi??

OAuth Nedir??

OAuth, birçok web sitesi ve uygulama tarafından kullanılan açık bir standarttır. 3 Anlamanız Gereken Temel Güvenlik Koşulları 3 Anlamanız Gereken Temel Güvenlik Koşulları Şifreleme ile karıştırılmanız mı gerekiyor? OAuth tarafından şaşırtıyor veya Ransomware tarafından taşlaşıyor musunuz? En sık kullanılan güvenlik terimlerinden bazılarını ve tam olarak ne anlama geldiklerini inceleyelim. OAuth sağlayıcılarından birinden bir hesap kullanarak üçüncü taraf bir uygulamaya veya web sitesine giriş yapmanıza izin vermek için. En yaygın ve iyi bilinen örneklerden bazıları Google, Facebook ve Twitter'dır..

Tek Oturum Açma (SSO) düğmesi hesap bilgilerinize erişim izni vermenizi sağlar. Facebook düğmesini tıkladığınızda, üçüncü taraf uygulaması veya web sitesi, bir erişim belirteci arar ve Facebook bilgilerinize erişmesine izin verir..

Bu belirteç bulunamazsa, üçüncü tarafın Facebook hesabınıza erişmesine izin vermeniz istenir. Bunu onayladığınızda, Facebook üçüncü kişiden bir erişim belirteci isteyen bir mesaj alır..

Facebook belirteçle yanıt vererek üçüncü taraflara belirttiğiniz bilgilere erişim izni verir. Örneğin, temel profil bilgilerinize ve arkadaş listenize erişim izni verirsiniz, ancak fotoğraflarınıza değil. Üçüncü taraf belirteci alır ve Facebook kimlik bilgilerinizle giriş yapmanızı sağlar. Ardından, belirteç süresi sona ermediği sürece, yetkilendirdiğiniz bilgilere erişebilecek.

Bu harika bir sistem gibi görünüyor. Daha az şifreyi hatırlamanız ve kolayca oturum açmanız ve bilgilerinizi zaten sahip olduğunuz bir hesapla doğrulamanız gerekir. SSO düğmeleri mobil cihazlarda daha da kullanışlıdır; yeni şifreler oluştururken, yeni bir hesaba izin vermek zaman alabilir.

Sorun ne?

En yeni OAuth çerçevesi - OAuth 2.0 - Ekim 2012'de piyasaya sürüldü ve mobil uygulamalar için tasarlanmadı. Bu, pek çok uygulama geliştiricisinin OAuth'u güvenli bir şekilde nasıl yapması gerektiği konusunda yol göstermeden kendi başına uygulamak zorunda kalmasına neden oldu.

Web sitelerinde OAuth, üçüncü taraf ile SSO sağlayıcısının sunucuları arasında doğrudan iletişim kullanırken, mobil uygulamalar bu doğrudan iletişim yöntemini kullanmaz. Bunun yerine, mobil uygulamalar cihazınızla birbirleriyle iletişim kurarlar..

Bir web sitesinde OAuth kullanırken, Facebook erişim belirteci ve kimlik doğrulama bilgilerini doğrudan üçüncü taraf sunuculara sunar. Bu bilgiler daha sonra kullanıcıyı giriş yapmadan veya herhangi bir kişisel verilere erişmeden önce doğrulanabilir.

Araştırmacılar, Android uygulamalarının büyük bir yüzdesinin bu doğrulamanın eksik olduğunu buldular. Bunun yerine, Facebook sunucuları erişim belirtecini Facebook uygulamasına gönderir. Erişim belirteci daha sonra üçüncü taraf uygulamasına teslim edilir. Üçüncü taraf uygulaması daha sonra, Facebook’un sunucularıyla kullanıcı bilgilerinin meşru olduğunu doğrulamadan oturum açmanıza izin verir..

Saldırgan, OAuth token isteğini tetikleyerek kendileri olarak giriş yapabilir. Facebook belirteci onayladığında, kendilerini Facebook sunucuları ve Facebook uygulaması arasına yerleştirebilirler. Saldırgan daha sonra karttaki kullanıcı kimliğini kurbanın kimliğine değiştirebilir. Kullanıcı adı genellikle kamuya açık bir bilgidir, bu nedenle saldırgan için çok az engel var. Kullanıcı kimliği değiştirildikten sonra - ancak yetki hala veriliyorsa - üçüncü taraf uygulaması kurbanın hesabına giriş yapacak.

Bu tür bir istismar, ortadaki adam (MitM) saldırısı olarak bilinir. Ortadaki adam saldırısı nedir? Güvenlik Jargon Açıkladı Ortadaki Bir Adam Saldırısı Nedir? Güvenlik Jargon Açıklaması “Ortadaki adam” saldırılarını duyduysanız ancak bunun ne anlama geldiğinden tam olarak emin değilseniz, bu makale sizin için. . İki taraf birbirleriyle doğrudan iletişim kurduğuna inanırken, saldırganın verileri ele geçirip değiştirebildiği yer burasıdır..

Bu seni nasıl etkiler??

Bir saldırgan, bir uygulamayı kendisinin olduğuna inanmakla kandırabilirse, bilgisayar korsanı o hizmette sakladığın tüm bilgilere erişebilir. Araştırmacılar, farklı uygulama türlerinde açıklayabileceğiniz bilgilerin bazılarını listeleyen aşağıda gösterilen tabloyu oluşturdular..

Bazı bilgi türleri diğerlerinden daha az zararlıdır. Haber okuma geçmişinizi tüm seyahat planlarınızdan daha fazla açıklamaktan veya adınıza özel mesajlar göndermek ve almak konusunda endişelenme olasılığınız daha düşüktür. Bu, üçüncü taraflara düzenli olarak emanet ettiğimiz bilgi türlerini ve kötüye kullanımının sonuçlarını hatırlatıyor..

Endişelenmelisin?

Araştırmacılar, Google Play Store'daki SSO'yu destekleyen en popüler 600 uygulamanın% 41,21'inin MitM saldırısına karşı savunmasız olduğunu buldular. Bu, potansiyel olarak dünya çapında milyarlarca kullanıcıyı bu tür bir saldırıya maruz bırakabilir. Ekip Android üzerinde araştırma yaptı ancak iOS'ta çoğaltılabileceğine inanıyor. Bu potansiyel olarak en büyük iki mobil işletim sisteminde milyonlarca uygulamayı bu saldırıya karşı savunmasız bırakacaktır..

Resim Kredisi: Shutterstock ile Bloomicon

Yazma sırasında, OAuth 2.0 Spesifikasyonlarını geliştiren internet Mühendisliği Görev Gücü'nden (IETF) resmi bir açıklama yapılmadı. Araştırmacılar etkilenen uygulamaları adlandırmayı reddetti, bu nedenle mobil uygulamalarda SSO kullanırken dikkatli olmalısınız.

Gümüş bir astar var. Araştırmacılar Google'ı ve Facebook'u ve diğer istismar sağlayıcılarını zaten uyardılar. Bunun üzerine, sorunu çözmek için etkilenen üçüncü taraf geliştiricilerin yanında çalışıyorlar.

Şimdi ne yapabilirsin?

Bir düzeltme yolda olabilir, ancak çok etkilenen uygulamaların güncellenmesi. Bu biraz zaman alabilir, bu yüzden bu arada SSO kullanmamaya değebilir. Bunun yerine, yeni bir hesaba kaydolduğunuzda, güçlü bir şifre oluşturduğunuzdan emin olun 6 Hatırlayabileceğiniz Kırılmaz bir Şifre Oluşturmak İçin 6 İpuçları Hatırlayabileceğiniz Kırılmaz bir Şifre Oluşturmak için 6 Şifreleriniz benzersiz ve kırılmazsa, ayrıca ön kapıyı açın ve soyguncuları öğle yemeğine davet edin. unutmayacaksın Bu ya da bir şifre yöneticisi kullanın Şifre Yöneticileri Şifrelerinizi Nasıl Güvende Tutur? Şifre Yöneticileri Şifrelerinizi Nasıl Güvende Tutur? Kırılması zor olan şifrelerin de hatırlanması güçtür. Güvende olmak ister misiniz? Bir şifre yöneticisine ihtiyacınız var. İşte nasıl çalıştıkları ve sizi nasıl güvende tutacakları. ağır kaldırma yapmak için.

Kendi güvenlik kontrolünüzü yapmak iyi bir uygulamadır Kendinizi Yıllık Güvenlik ve Gizlilik Kontrolü ile Koruyun Yıllık Güvenlik ve Gizlilik Kontrolü ile Kendinizi Koruyun Yeni yıla neredeyse iki ay kaldık, ancak yine de olumlu bir çözüm bulmak için zamanımız var. Daha az kafein almayı unutun - çevrimiçi güvenliği ve gizliliği korumak için adımlar atmaktan söz ediyoruz. zamandan zamana. Google sizi bulut deposunda bile ödüllendirecek Bu 5 Dakika Google Checkup Size 2 GB Boş Alan Verecek Bu 5 Dakika Google Checkup Size 2 GB Boş Alan Verecektir Bu güvenlik kontrolünden geçmek için beş dakikanızı ayırırsanız, Google Google Drive'da size 2 GB boş alan verin. kontrollerini yapmak için. Sosyal Girişi Kullanmak için hangi uygulamalara izin verdiğinizi kontrol etmek için ideal bir zaman mı? Sosyal Girişi Kullanarak Hesaplarınızı Güvenceye Almak için Bu Adımları Atmak? Hesaplarınızı Güvenceye Almak için Bu Adımları Uygulayın Eğer bir sosyal giriş servisi kullanıyorsanız (Google veya Facebook gibi), o zaman her şeyin güvenli olduğunu düşünebilirsiniz. Öyle değil - sosyal girişlerin zayıflıklarına bir göz atmanın zamanı geldi. SSO hesaplarınızda. Bu özellikle Facebook gibi bir site için önemlidir. Üçüncü Taraf Facebook Girişlerinizi Nasıl Yönetirsiniz [Haftalık Facebook İpuçları] Üçüncü Taraf Facebook Girişlerinizi Nasıl Yönetirsiniz [Haftalık Facebook İpuçları] Üçüncü taraf bir sitenin kaç kez izin vermesine izin verdiniz Facebook hesabına erişim İşte ayarlarınızı nasıl yönetebileceğiniz. çok büyük miktarda kişisel bilgi depolayan, Toplu Verme Facebook Verilerinizi İndirme ve Hangi Bilgiyi Arşivler İçeren Toplu Gönderme Facebook Verilerinizi İndirme ve Hangi Bilgiyi Arşivleme İçeren Bir Avrupa mahkemesi kararını takiben, Facebook, kullanıcılara son zamanlarda izin veren özelliği yükseltti kişisel verilerinin bir arşivini indirmek için. Arşivleme seçeneği 2010'dan beri kullanımda ve fotoğraf, video ve mesaj içeriyor. .

Single Sign On'dan uzaklaşmanın zamanının geldiğini düşünüyor musunuz? Sizce en iyi giriş yöntemi nedir? Bu istismardan etkilendiniz mi? Aşağıdaki yorumlarda bize bildirin!

Resim Kredisi: Marc Bruxelle / Shutterstock




Henüz no comments

Şifreli Para Biriminin Şimdiki Durumu
Teknoloji Açıklaması
Kendi Kendini Süren Arabalar Nasıl Çalışır? Google’ın Özerk Araba Programının Arkasındaki Somunlar ve Cıvatalar
Teknoloji Açıklaması
Project Ara Sıradaki Smartphone'unuz Nasıl Yapılır?
Teknoloji Açıklaması
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.