三名来自香港中文大学的安全研究员发现了一种攻击大量安卓和iOS app的方法,能够在用户不知情的情况下远程登入其移动app账号。
研究人员发现,多数流行移动app支持单点登入(SSO)服务并且它们实现OAuth 2.0的方式并不安全。OAuth 2.0是一种开放式验证标准,允许用户通过验证已有的谷歌、Facebook或新浪微博账户来登录第三方服务。如此用户就能够在不用再提供用户名或密码的情况下登录到任何服务。
当用户通过OAuth登录到第三方app时,app会通过提供商比如说Facebook检查用户是否具有正确的验证详情。如果有,那么OAuth就会从Facebook得到一个“访问口令”并随后颁发给这个第三方app的服务器。一旦访问口令被颁发,那么app服务器就会从Facebook要求获得用户的验证信息并加以验证,随后允许用户通过Facebook凭证登录第三方app。
但研究人员发现大量安卓app开发人员并没有恰当地检查来自Facebook、谷歌或新浪微博的信息是否有效。开发人员并没有通过验证OAuth信息(访问口令)来验证用户跟身份提供商是否有关联,app服务器仅会检查从身份提供商追溯的用户身份是否有效。这样黑客就能下载易受攻击的app,用自己的信息登录并且随后将用户名更改成攻击目标的用户名(黑客能够猜测或通过谷歌知晓),方法是设置一台服务器更改来自Facebook、谷歌或其它身份提供商的数据。《福布斯》报道称这就会导致攻击者完全控制这款app中的数据。
这会带来什么影响?比如黑客黑了某个用户的旅行app,那么用户的行程就会暴露;如果入侵的是旅店预定app,那么用户就可能会因此为黑客预定的房间付费;或者黑客会窃取用户的个人数据如住址或银行详情。
《福布斯》报道称,OAuth协议非常复杂,而许多第三方开发者只是小作因此并不具备这个能力。他们多数多是使用谷歌和Facebookde 建议,但如果他们没有正确行事,那么所开发的app就会给黑客带来可趁之机。
研究人员发现数百款美国和中国的热门安卓app支持SSO服务,其下载量超过24亿次,而它们都易于受该问题影响。从选择基于OAuth登录的人数来看,研究人员认为有超过10亿款移动app账户易受劫持。
研究人员虽并非在iPhone上测试利用代码,但认为攻击能够发生在依赖苹果iOS移动操作系统的app中。