Un miliardo di account di app mobile a rischio

Un miliardo di account di app mobile a rischio

Ricercatori di sicurezza hanno scoperto un modo per accedere ad un numero enorme di applicazioni Android e iOS  senza che la vittima possa venirne a conoscenza. App di Facebook, giochi on line, e qualsiasi app utilizzi l’auth (codice di autorizzazione) derivato da un account social.

Un gruppo di tre ricercatori – Ronghai Yang, Ala Cheong Lau, e Tianyu Liu – presso l’Università cinese di Hong Kong hanno trovato che la maggior parte delle applicazioni mobili, soprattutto quelle molto popolari, che supportano il servizio Single sign-on (SSO) hanno implementato OAuth 2.0 in modo anomalo e poco sicuro.

OAuth 2.0 è uno standard per l’autorizzazione che consente agli utenti di accedere a servizi di terze parti, verificando l’identità esistente con un account Google, Facebook, o altri servizi.

Quando un utente accede ad un’app di terze parti tramite OAuth, i controlli si mettono in contatto  con il provider ID, diciamo, di Facebook, che ha i dati di autenticazione. Se lo fa, OAuth avrà un ‘token di accesso’ (una specie di firma) da Facebook che viene poi rilasciata al server di tale app mobile.

Una volta che il token di accesso viene rilasciato, il server dell’applicazione richiede le informazioni di autenticazione dell’utente a Facebook, verifica e poi garantisce l’accesso con le credenziali dell’utente di Facebook.

La verifica di accesso è falsa

Invece di verificare l’OAuth (token di accesso) collegato alle informazioni di autenticazione dell’utente per convalidare che il provider dell’utente e l’ID siano gli stessi, il server dell’applicazione controllerebbe solo l’ID.

A causa di questo errore, gli attacker possono scaricare l’applicazione vulnerabile, accedere alle loro informazioni e poi cambiare il loro nome utente con l’individuo che vogliono colpire attraverso la creazione di un server per modificare i dati inviati da Facebook, Google o altri fornitori di ID.

Questo metodo di sostituzione delle informazioni è molto facile da eseguire persino da chi non è molto esperto in questo tipo di attacchi. Nel Paper che trovate qui sotto c’è tutta la spiegazione passo passo di come i ricercatori hanno scoperto la vulnerabilità.

Pensate solo a quanti utilizzatori di Crash Saga ci sono al mondo e di come si potrebbe bypassare il login di un utente ed avere quindi accesso a pagamenti, informazioni e quant’altro. Un pericolo davvero imponente.

SCARICA E LEGGI IL PAPER ORIGINALE DELLA VULNERABILITA’

Un miliardo di account di app mobile a rischio ultima modifica: 2016-11-05T13:37:57+00:00 da redazione
The following two tabs change content below.

redazione

Redazione a Alground.com
La Redazione di Alground è costituita da esperti in tutti i rami della tecnologia che garantiscono una copertura completa dei principali How To relativi al mondo digitale.

Articoli correlati

Instagram. Server violati. Facebook minaccia l’hacker

Violare, hackerare il server di Instagram. Un sogno per molti pirati informatici e anche per molti bug bounty, ricercatori di

Google Pixel. Account bannati per rivendita

Google ha sospeso e bloccato centinaia di account di persone che hanno approfittato di una scappatoia rispetto la tassa di

Shellshock: tutto sulla nuova vulnerabilità dei sistemi Apple e Linux/Unix

La vulnerabilità Shellshock, recentemente scoperta dal team di sicurezza della softwarehouse Red Hat, è destinata a sconvolgere il mondo informatico

Virus WordPress: visitatori colpiti da Ransomware e Spam

Virus WordPress: una nuova ondata di attacchi Ransomware e Spam ha colpito i visitatori dei siti basati sul più celebre CMS

Google Chrome? No un ransomware che cripta i dati

Nonostante l’inverno mite, in tutto il mondo – Italia compresa – si sta diffondendo un virus molto contagioso: il suo

Quanto è sicuro WordPress? Ecco cosa rischiano i webmaster

Quanto è sicuro WordPress? Dal 2003 (anno della prima versione rilasciata) a oggi, centinaia di attacchi hacker hanno interessato la