STANDARD OAUTH 2.0

Milijuni aplikacija za Android ugroženi zbog jedne jedine ranjivosti

14.11.2016 u 09:21

Bionic
Reading

Na ovogodišnjoj konferenciji Black Hat Europe dva sigurnosna stručnjaka iz Hong Konga otkrila su ranjivost koja potencijalno ugrožava preko milijardu instaliranih aplikacija. Ranjivost se tiče tzv. man-in-the-middle napada na mobilnu implementaciju autorizacijskog standarda OAuth 2.0. O čemu je točno riječ?

OAuth je otvoreni standard koji koristi mnoštvo internetskih odredišta i aplikacija kako bi omogućili prijavu korisnika na neki treći servis ili app. Najpoznatiji primjeri su Google, Facebook i Twitter. Tipka SSO (Single Sign On) osigurava pristup informacijama korisničkog računa, a mnogi internauti to su već jasno vidjeli kada bi npr. poželjeli povezati neki servis s Facebookom. Sustav se čini izvrsnim jer korisnik ne treba pamtiti gomilu dodatnih lozinki, a lako je ovjeriti stvari preko postojećeg računa.

Problem u svijetu mobilnih aplikacija leži u tom što OAuth 2.0 postoji od listopada 2012. godine i jednostavno nije namijenjen takvom korištenju. Mnogi su stoga implementirali OAuth vlastitim metodama, bez savjeta o tome kako se brinuti o sigurnosti. Uglavnom, takvo što je stvorilo ranjivost pa napadač može presresti podatke i izmijeniti ih, a da pritom niti jedna od strana u komunikaciji nije svjesna da se dogodila ta izmjena. U slučaju da je ovaj man-in-the-middle napad bio uspješan, korisnik je zapravo potpuno otvorio svoj račun napadaču - svim informacijama i podacima na njemu sada može raspolagati kriminalac.


Sigurnosni stručnjaci otkrivaju kako je 41,21 posto od 600 najpopularnijih aplikacija koje podržavaju SSO na Google Play Storeu podložno man-in-the-middle napadima. Svoje su istraživanje proveli na platformi Android, no vjeruju da se slična stvar može izvesti i na iOS-u.

Jasno, dvojac je upozorio Google i Facebook, baš kao i druge pružatelje mogućnosti SSO-a, na ovu ranjivost, no dok se ne zakrpaju sve aplikacije proći će mnogo vremena. Za sada je je zato najbolje izbjegavati SSO te koristiti zasebne i dobro zaštićene korisničke račune.

Više tehničkih detalja o ovoj sigurnosnoj rupi moguće je naći na MakeUseOf.com