ورود به ۱ میلیارد حساب کاربری بر روی برنامه‌های تلفن همراه با استفاده از پروتکل OAuth

۴محققان امنیتی روشی را کشف کردند که بسیاری از برنامه‌های اندروید و iOS را هدف قرار داده و به مهاجمان اجازه می‌دهد بدون اطلاع قربانی به حساب‌های کاربری که بر روی تلفن همراه او وجود دارد، وارد شوند.
سه محقق از دانشگاه چینی هنگ‌کنگ دریافتند که بسیاری از برنامه‌های مشهور تلفن همراه که دارای ورود یک مرحله‌ای هستند، OAuth ۲.۰ را به‌شکل ناامنی پیاده‌سازی کرده‌اند. (بارگیری پرونده پاورپوینت)

OAuth ۲.۰ یک استاندارد باز برای احراز هویت است که به کاربران اجازه می‌دهد با استفاده از حساب‌ کاربری گوگل، فیس‌بوک و یا حساب کاربری Sina (یک شرکت چینی) به سایر سرویس‌های شخص ثالث وارد شوند. این ویژگی کاربر را قادر می‎سازد بتواند بدون داشتن نام کاربری و گذرواژه‌ی اضافی به هر سرویسی وارد شود.

توسعه‌دهندگان چگونه باید OAuth را پیاده‌سازی کنند؟ (روش صحیح)
زمانی که کاربر می‌خواهد به برنامه‌ی ثالثی از طریق OAuth وارد شود، برنامه یک شناسه‌ی ارائه‌دهنده مثلاً فیسبوک را درخواست می‌کند. اطلاعات حساب کاربری مربوط به فیس‌بوک بررسی می‌شود و اگر درست بود یک توکن دسترسی از فیس‌بوک برای OAuth صادر می‌شود که این توکن در ادامه به کارگزار برنامه‌ی ثالث تحویل داده می‌شود.
۱_۵۶
زمانی‌که توکن صادر شد، کارگزار برنامه‌ی مورد نظر اطلاعات مربوط به احراز هویت فیس‌بوک را درخواست می‌کند و اگر این اطلاعات درست بود پس از تایید، کاربر از طریق این گواهی‌نامه‌ها می‌تواند به این سرویس جدید وارد شود.

طوری که توسعه‌دهندگان OAuth را پیاده‌سازی می‌کنند؟ (روش اشتباه)

۲۰۱۶-۱۱-۰۶_۱۶۳۹۲۴
محققان دریافتند که بسیاری از توسعه‌دهندگان برنامه‌های تلفن همراه، اعتبار اطلاعات ارسالی از سمت ارائه‌دهنده‌ی شناسه مانند فیس‌بوک، گوگل و سینا را بررسی نمی‌کنند.
کارگزار برنامه به‌جای اینکه اطلاعات OAuth (توکن دسترسی) که به همراه اطلاعات احراز هویت کاربر ضمیمه شده را بررسی کند و ببیند که آیا این دو با هم ارتباطی دارند، تنها شناسه‌ی کاربر که در شناسه‌ی ارائه‌دهنده وجود دارد را بررسی می‌کند.

با توجه به این اشتباهی که رخ داده، یک مهاجم به راحتی می‌تواند برنامه‌ی آسیب‌پذیر را بارگیری کرده و با اطلاعات خود به این برنامه وارد شود. در ادامه نیز نام کاربری خود را به نام کاربری قربانی تغییر دهد و کارگزاری را تنظیم کند تا اطلاعات ارسال‌شده از سمت گوگل، فیس‌بوک یا سینا و یا هر ارائه‌دهنده‌ی دیگری را ویرایش کند. وقتی این کارها انجام شد، کنترل تمامی داده‌های موجود در این برنامه، در اختیار مهاجم خواهد بود.

این حمله چه اثراتی می‌تواند داشته باشد؟ اگر مهاجم به برنامه‌ی سفر قربانی وارد شده باشد، می‌تواند برنامه‌ریزی قربانی را بفهمد. اگر وارد برنامه‌ی هتل شده باشد، می‌تواند اتاقی را رزرو کند و هزینه‌ی آن را با حساب قربانی پرداخت کند. همچنین مهاجم به راحتی می‌تواند اطلاعاتی همچون آدرس و جزئیات کارت بانکی کاربر را به سرقت ببرد.

پروتکل OAuth بسیار پیچیده است و توسعه‌دهندگان برنامه‌های تلفن همراه نیز خیلی توانمند نیستند و اگر از این پروتکل به درستی استفاده نکنند، برنامه‌های آن‌ها کاملاً باز خواهد بود.
محققان صدها برنامه‌ی محبوب تلفن همراه را پیدا کردند که از سرویس ورود تک‌مرحله‌ای ( SSO) پشتیبانی می‌کنند و ۲.۴ میلیارد بار بارگیری شده‌اند و دارای چنین آسیب‌پذیری هستند.

محققان بهره‌برداری از این آسیب‌پذیری را بر روی آیفون بررسی نکرده‌اند اما معتقدند که این حمله بر روی هر برنامه‌ی آسیب‌پذیر بر روی سامانه‌ی عامل iOS اپل نیز کار خواهد کرد.
این محققان مقاله خود را با عنوان «ورود به ۱ میلیارد حساب کاربری بر روی برنامه‌های تلفن همراه با استفاده از OAuth۲.۰» روز جمعه در کنفرانس بلک‌هت اروپا ارائه کردند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter