Page d'accueil Sécurité Comment des millions d'applications sont vulnérables à un hack de sécurité unique

Comment des millions d'applications sont vulnérables à un hack de sécurité unique

  • William Charles
  • 0
  • 3147
  • 512
Publicité

Lors de la conférence sur la sécurité Black Hat Europe de cette année, deux chercheurs de l'Université chinoise de Hong Kong ont présenté une étude qui montrait qu'un exploit affectant les applications Android pouvait potentiellement laisser plus d'un milliard d'applications installées vulnérables aux attaques..

L'exploit repose sur une attaque de l'homme du milieu de l'implémentation mobile de la norme d'autorisation OAuth 2.0. Cela semble très technique, mais qu'est-ce que cela signifie réellement, et vos données sont-elles en sécurité??

Qu'est-ce que OAuth??

OAuth est un standard ouvert utilisé par de nombreux sites Web et applications. 3 Termes de sécurité essentiels à comprendre 3 Termes de sécurité essentiels à comprendre. Confus par le cryptage? Dérouté par OAuth, ou pétrifié par Ransomware? Révisons quelques termes de sécurité les plus couramment utilisés et leur signification. pour vous permettre de vous connecter à une application ou à un site Web tiers en utilisant un compte d'un des nombreux fournisseurs OAuth. Certains des exemples les plus courants et les plus connus sont Google, Facebook et Twitter..

Le bouton Single Sign On (SSO) vous permet d’accorder l’accès aux informations de votre compte. Lorsque vous cliquez sur le bouton Facebook, l'application ou le site Web tiers recherche un jeton d'accès lui permettant d'accéder à vos informations Facebook..

Si ce jeton n'est pas trouvé, il vous sera demandé d'autoriser l'accès tiers à votre compte Facebook. Une fois que vous avez autorisé cela, Facebook reçoit un message du tiers demandant un jeton d'accès..

Facebook répond avec un jeton, accordant à un tiers l'accès aux informations que vous avez spécifiées. Par exemple, vous accordez l'accès aux informations de votre profil de base et à votre liste d'amis, mais pas à vos photos. Le tiers reçoit le jeton et vous permet de vous connecter avec vos identifiants Facebook. Ensuite, tant que le jeton n’expire pas, il aura accès aux informations que vous avez autorisées..

Cela semble être un bon système. Vous devez vous rappeler moins de mots de passe, et vous connecter facilement et vérifier vos informations avec un compte que vous avez déjà. Les boutons SSO sont encore plus utiles sur mobile où créer de nouveaux mots de passe, où autoriser un nouveau compte peut prendre beaucoup de temps.

Quel est le problème?

Le dernier cadre OAuth - OAuth 2.0 - a été publié en octobre 2012 et n'a pas été conçu pour les applications mobiles. Cela a amené de nombreux développeurs d'applications à implémenter OAuth eux-mêmes, sans conseils sur la manière de le faire en toute sécurité..

Tandis que OAuth sur les sites Web utilise la communication directe entre les serveurs tiers et les fournisseurs du fournisseur de connexion unique, les applications mobiles n'utilisent pas cette méthode de communication directe. Au lieu de cela, les applications mobiles communiquent entre elles via votre appareil.

Lorsque vous utilisez OAuth sur un site Web, Facebook transmet les informations de jeton d'accès et d'authentification directement aux serveurs tiers. Ces informations peuvent ensuite être validées avant de connecter l'utilisateur ou d'accéder à des données personnelles..

Les chercheurs ont découvert qu'un grand pourcentage d'applications Android manquaient de cette validation. Au lieu de cela, les serveurs de Facebook envoient le jeton d'accès à l'application Facebook. Le jeton d'accès serait alors remis à l'application tierce. L'application tierce vous permettrait alors de vous connecter, sans vérifier avec les serveurs de Facebook que les informations de l'utilisateur étaient légitimes..

L'attaquant pourrait se connecter en tant que tel, provoquant la demande de jeton OAuth. Une fois que le jeton a été autorisé par Facebook, ils peuvent s'interposer entre les serveurs de Facebook et l'application Facebook. L'attaquant pourrait alors changer l'identifiant de l'utilisateur sur le jeton en celui de la victime. Le nom d'utilisateur est généralement aussi une information publiquement disponible. Il y a donc très peu d'obstacles pour l'attaquant. Une fois que l'ID utilisateur a été modifié - mais que l'autorisation est toujours accordée - l'application tierce se connectera sous le compte de la victime..

Ce type d’exploit est connu sous le nom d’attaque «Man-in-the-Middle» (MitM). Qu'est-ce qu'une attaque Man-in-the-Middle? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type "homme du milieu"? Le jargon de sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. . C’est à cet endroit que l’attaquant est capable d’intercepter et de modifier des données, alors que les deux parties pensent communiquer directement entre elles..

Comment cela vous affecte?

Si un attaquant parvient à faire croire à une application qu'il est pour vous, le pirate informatique aura alors accès à toutes les informations que vous stockez dans ce service. Les chercheurs ont créé le tableau ci-dessous, qui répertorie certaines des informations que vous pouvez exposer sur différents types d'applications..

Certains types d’informations sont moins dommageables que d’autres. Vous êtes moins susceptible de craindre de révéler votre historique de lecture d'actualités que tous vos projets de voyage ou la capacité d'envoyer et de recevoir des messages privés en votre nom. C'est un rappel qui fait réfléchir sur les types d'informations que nous transmettons régulièrement à des tiers - et sur les conséquences de leur utilisation abusive.

Si vous vous inquiétez?

Les chercheurs ont constaté que 41,21% des 600 applications les plus populaires prenant en charge l'authentification unique sur le Google Play Store étaient vulnérables à l'attaque MitM. Cela pourrait potentiellement exposer des milliards d'utilisateurs du monde entier à ce type d'attaque. L’équipe a mené ses recherches sur Android, mais elle pense qu’elle peut être répliquée sur iOS. Cela laisserait potentiellement des millions d'applications sur les deux plus grands systèmes d'exploitation mobiles vulnérables à cette attaque..

Crédit d'image: Bloomicon via Shutterstock

Au moment de la rédaction du présent document, l'IETF (Internet Engineering Task Force) n'a pas fait de déclaration officielle pour avoir élaboré les spécifications OAuth 2.0. Les chercheurs ont refusé de nommer les applications concernées. Vous devez donc faire preuve de prudence lorsque vous utilisez l'authentification unique sur des applications mobiles..

Il y a une doublure d'argent. Les chercheurs ont déjà alerté Google et Facebook, ainsi que d'autres fournisseurs d'authentification unique. En plus de cela, ils travaillent aux côtés des développeurs tiers concernés pour résoudre le problème.

Que pouvez-vous faire maintenant?

Même si un correctif est sur le chemin, il y a beaucoup des applications concernées à mettre à jour. Cela risque de prendre un certain temps et il peut donc être intéressant de ne pas utiliser l'authentification unique pour le moment. Au lieu de cela, lorsque vous vous enregistrez pour un nouveau compte, assurez-vous de créer un mot de passe fort. 6 Conseils pour créer un mot de passe indestructible que vous pouvez vous souvenir ainsi ouvrir la porte d'entrée et inviter les voleurs pour le déjeuner. vous n'oublierez pas. Ou bien utilisez un gestionnaire de mots de passe. Comment les gestionnaires de mots de passe sécurisent vos mots de passe. Comment les gestionnaires de mots de passe sécurisent vos mots de passe Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. faire le gros du travail pour vous.

Faites votre propre bilan de sécurité Protégez-vous avec un bilan annuel de sécurité et de confidentialité Protégez-vous avec un bilan de sécurité annuel et de confidentialité Nous sommes presque deux mois dans le nouvel an, mais il est encore temps de prendre une résolution positive. Oubliez boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. de temps en temps. Google vous récompensera même dans le stockage en nuage. Cette vérification de 5 minutes de Google vous donnera 2 Go d’espace libre. Cette vérification de 5 minutes de Google vous donnera 2 Go d’espace libre. Si vous prenez cinq minutes pour effectuer cette vérification de sécurité, Google vous donner 2 Go d'espace libre sur Google Drive. pour effectuer leur bilan. C'est le moment idéal pour vérifier quelles applications vous avez donné la permission d'utiliser Using Social Login? Suivez ces étapes pour sécuriser vos comptes en utilisant Social Login? Suivez ces étapes pour sécuriser vos comptes Si vous utilisez un service de connexion sociale (tel que Google ou Facebook), vous pourriez penser que tout est sécurisé. Pas si - il est temps d'examiner les faiblesses des logins sociaux. sur vos comptes SSO. Ceci est particulièrement important sur un site comme Facebook Comment gérer vos identifiants Facebook tiers [Astuces hebdomadaires Facebook] Comment gérer vos identifiants Facebook tiers [Astuces Facebook hebdomadaires] Combien de fois avez-vous autorisé un site tiers à avoir accès à votre compte Facebook? Voici comment vous pouvez gérer vos paramètres. , qui stocke une quantité considérable d’informations très personnelles Comment télécharger en masse vos données Facebook et quelles informations les archives contiennent? Comment télécharger en bloc vos données Facebook et quelles informations les archives contiennent Suite à une décision de la Cour européenne, Facebook a récemment mis à niveau la fonctionnalité permettant aux utilisateurs télécharger une archive de leurs données personnelles. L'option d'archivage est disponible depuis 2010 et comprend des photos, des vidéos et des messages,… .

Pensez-vous qu'il est temps de s'éloigner de Single Sign On? Quelle est selon vous la meilleure méthode de connexion? Avez-vous été touché par cet exploit? Faites-nous savoir dans les commentaires ci-dessous!

Crédits d'image: Marc Bruxelle / Shutterstock




Personne n'a encore commenté ce post.

10 astuces pour vous aider à utiliser Instagram comme un pro
Des médias sociaux
Comment discuter avec une fille sur Facebook et lui demander de sortir
Des médias sociaux
Comment construire une marque en ligne en tant que pigiste
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.