Iklan

Pada konferensi keamanan Black Hat Europe tahun ini, dua peneliti dari Chinese Hong Kong University mempresentasikan penelitian yang menunjukkan eksploitasi yang memengaruhi aplikasi Android yang berpotensi meninggalkan lebih dari satu miliar aplikasi yang terinstal rentan terhadap serangan.

Eksploitasi bergantung pada serangan man-in-the-middle dari implementasi mobile dari standar otorisasi OAuth 2.0. Kedengarannya sangat teknis, tetapi apa artinya sebenarnya, dan apakah data Anda aman?

Apa itu OAuth?

OAuth adalah standar terbuka yang digunakan oleh banyak situs web dan aplikasi 3 Ketentuan Keamanan Penting yang Perlu Anda PahamiBingung dengan enkripsi? Bingung oleh OAuth, atau membatu oleh Ransomware? Mari kita memoles beberapa istilah keamanan yang paling umum digunakan, dan persis apa artinya. Baca lebih banyak untuk memungkinkan Anda masuk ke aplikasi pihak ketiga atau situs web dengan menggunakan akun dari salah satu dari banyak penyedia OAuth. Beberapa contoh paling umum dan terkenal adalah Google, Facebook, dan Twitter.

instagram viewer

Tombol Single Sign On (SSO) memungkinkan Anda untuk memberikan akses ke informasi akun Anda. Ketika Anda mengklik tombol Facebook, aplikasi atau situs web pihak ketiga mencari token akses, memberikannya akses ke informasi Facebook Anda.

Jika token ini tidak ditemukan, Anda akan diminta untuk mengizinkan akses pihak ketiga ke akun Facebook Anda. Setelah Anda mengizinkan ini, Facebook menerima pesan dari pihak ketiga yang meminta token akses.

Login Situs Web Riset OAuth

Facebook merespons dengan token, memberikan akses pihak ketiga ke informasi yang Anda tentukan. Misalnya, Anda memberikan akses ke informasi profil dasar Anda, dan daftar teman, tetapi bukan foto Anda. Pihak ketiga menerima token dan memungkinkan Anda untuk login dengan kredensial Facebook Anda. Kemudian, selama token tidak kedaluwarsa, token itu akan memiliki akses ke informasi yang Anda otorisasi.

Ini seperti sistem yang hebat. Anda harus mengingat lebih sedikit kata sandi, dan dapat dengan mudah login dan memverifikasi informasi Anda dengan akun yang sudah Anda miliki. Tombol SSO bahkan lebih berguna di ponsel tempat membuat kata sandi baru, di mana mengotorisasi akun baru bisa menghabiskan waktu.

Apa masalahnya?

Kerangka kerja OAuth terbaru - OAuth 2.0 - dirilis pada Oktober 2012, dan tidak dirancang untuk aplikasi seluler. Hal ini menyebabkan banyak pengembang aplikasi harus mengimplementasikan OAuth sendiri, tanpa panduan tentang cara melakukannya dengan aman.

Sementara OAuth di situs web menggunakan komunikasi langsung antara pihak ketiga dan server penyedia SSO, aplikasi seluler tidak menggunakan metode komunikasi langsung ini. Sebaliknya, aplikasi seluler berkomunikasi satu sama lain melalui perangkat Anda.

Login Aplikasi Penelitian OAuth

Saat menggunakan OAuth di situs web, Facebook mengirimkan token akses dan informasi otentikasi langsung ke server pihak ketiga. Informasi ini kemudian dapat divalidasi sebelum masuk pengguna atau mengakses data pribadi apa pun.

Para peneliti menemukan bahwa sebagian besar aplikasi Android tidak memiliki validasi ini. Sebagai gantinya, server Facebook mengirim token akses ke aplikasi Facebook. Token akses kemudian akan dikirimkan ke aplikasi pihak ketiga. Aplikasi pihak ketiga akan memungkinkan Anda untuk masuk, tanpa memverifikasi dengan server Facebook bahwa informasi pengguna itu sah.

Penyerang bisa masuk sebagai diri mereka sendiri, memicu permintaan token OAuth. Setelah Facebook mengesahkan token, mereka dapat memasukkan diri di antara server Facebook dan aplikasi Facebook. Penyerang kemudian dapat mengubah id pengguna pada token menjadi milik korban. Nama pengguna biasanya adalah informasi yang tersedia untuk umum juga, jadi ada sedikit hambatan bagi penyerang. Setelah ID pengguna diubah - tetapi otorisasi masih diberikan - aplikasi pihak ketiga akan masuk di bawah akun korban.

MiM Penelitian OAuth

Jenis eksploitasi ini dikenal sebagai a serangan man-in-the-middle (MitM) Apa itu Serangan Manusia-di-Tengah? Jargon Keamanan DijelaskanJika Anda pernah mendengar tentang serangan "man-in-the-middle" tetapi tidak yakin apa artinya itu, ini adalah artikel untuk Anda. Baca lebih banyak . Di sinilah penyerang dapat mencegat dan mengubah data, sementara kedua belah pihak percaya mereka berkomunikasi langsung satu sama lain.

Bagaimana Ini Mempengaruhi Anda?

Jika penyerang bisa mengelabui aplikasi agar percaya bahwa dia adalah Anda, maka peretas memperoleh akses ke semua informasi yang Anda simpan di layanan itu. Para peneliti membuat tabel yang ditunjukkan di bawah ini yang berisi daftar beberapa informasi yang dapat Anda paparkan pada berbagai jenis aplikasi.

Tabel Kerentanan Penelitian OAuth

Beberapa jenis informasi tidak terlalu merusak daripada yang lain. Anda cenderung khawatir tentang mengekspos riwayat membaca berita Anda daripada semua rencana perjalanan Anda, atau kemampuan mengirim dan menerima pesan pribadi atas nama Anda. Ini adalah pengingat serius tentang jenis informasi yang secara berkala kami percayakan kepada pihak ketiga - dan konsekuensi dari penyalahgunaannya.

Haruskah Anda Khawatir?

Para peneliti menemukan bahwa 41,21% dari 600 aplikasi paling populer yang mendukung SSO di Google Play Store rentan terhadap serangan MitM. Ini berpotensi menyebabkan miliaran pengguna di seluruh dunia terkena serangan jenis ini. Tim melakukan penelitian mereka di Android tetapi mereka percaya itu dapat direplikasi di iOS. Ini berpotensi menyebabkan jutaan aplikasi pada dua sistem operasi seluler terbesar rentan terhadap serangan ini.

App Store Shutterstock
Kredit Gambar: Bloomicon via Shutterstock

Pada saat penulisan, belum ada pernyataan resmi dari Internet Engineering Task Force (IETF) yang mengembangkan Spesifikasi OAuth 2.0. Para peneliti telah menolak menyebutkan nama aplikasi yang terpengaruh, jadi Anda harus berhati-hati saat menggunakan SSO pada aplikasi seluler.

Ada hikmahnya. Para peneliti telah memberi tahu Google dan Facebook, dan penyedia SSO lainnya tentang eksploitasi. Selain itu, mereka bekerja bersama pengembang pihak ketiga yang terkena dampak untuk memperbaiki masalah.

Apa Yang Dapat Anda Lakukan Sekarang?

Sementara perbaikan mungkin sedang berlangsung, ada banyak aplikasi yang terpengaruh akan diperbarui. Ini mungkin membutuhkan waktu, jadi mungkin tidak layak menggunakan SSO untuk sementara waktu. Sebaliknya, ketika Anda mendaftar untuk akun baru, pastikan Anda buat kata sandi yang kuat 6 Tips Untuk Membuat Kata Sandi yang Tidak Dapat Dipecahkan Yang Dapat Anda IngatJika kata sandi Anda tidak unik dan tidak dapat dipecahkan, Anda sebaiknya membuka pintu depan dan mengundang para perampok untuk makan siang. Baca lebih banyak kamu tidak akan lupa. Entah itu atau gunakan pengelola kata sandi Bagaimana Pengelola Kata Sandi Menjaga Kata Sandi Anda AmanKata sandi yang sulit diretas juga sulit diingat. Ingin aman? Anda memerlukan pengelola kata sandi. Inilah cara mereka bekerja dan bagaimana mereka membuat Anda tetap aman. Baca lebih banyak untuk melakukan angkat berat untuk Anda.

Ini praktik yang bagus untuk lakukan pemeriksaan keamanan Anda sendiri Lindungi Diri Anda Dengan Pemeriksaan Keamanan dan Privasi TahunanKami hampir dua bulan memasuki tahun baru, tetapi masih ada waktu untuk membuat resolusi positif. Jangan terlalu banyak minum kafein - kita sedang berbicara tentang mengambil langkah-langkah untuk menjaga keamanan dan privasi online. Baca lebih banyak dari waktu ke waktu. Google bahkan akan menghargai Anda dalam penyimpanan cloud Pemeriksaan Google 5 Menit Ini Akan Memberi Anda Ruang Kosong 2 GBJika Anda memerlukan waktu lima menit untuk menjalani pemeriksaan keamanan ini, Google akan memberi Anda ruang kosong 2 GB di Google Drive. Baca lebih banyak untuk melakukan pemeriksaan mereka. Ini adalah waktu yang ideal untuk lihat aplikasi apa yang telah Anda izinkan Menggunakan Login Sosial? Ambil Langkah-Langkah Ini untuk Mengamankan Akun AndaJika Anda menggunakan layanan login sosial (seperti Google atau Facebook) maka Anda mungkin berpikir semuanya aman. Tidak demikian - saatnya untuk melihat kelemahan login sosial. Baca lebih banyak di akun SSO Anda. Ini adalah sangat penting di situs seperti Facebook Cara Mengelola Login Facebook Pihak Ketiga Anda [Kiat Facebook Mingguan]Berapa kali Anda mengizinkan situs pihak ketiga untuk memiliki akses ke akun Facebook Anda? Inilah cara Anda mengelola pengaturan Anda. Baca lebih banyak , yang menyimpan a sejumlah besar informasi yang sangat pribadi Cara Mengunduh Seluruh Riwayat Facebook AndaSelama bertahun-tahun Facebook telah mengumpulkan banyak data tentang Anda. Pada artikel ini, kami menjelaskan cara mengunduh riwayat Facebook Anda dan apa yang mungkin Anda temukan di dalamnya. Baca lebih banyak .

Apakah Anda pikir sudah waktunya untuk beralih dari Sistem Masuk Tunggal? Menurut Anda apa metode masuk terbaik? Apakah Anda terpengaruh oleh eksploitasi ini? Beri tahu kami di komentar di bawah!

Kredit Gambar: Marc Bruxelle / Shutterstock

James adalah Editor Pembelian & Peranti Keras Berita dari MakeUseOf dan penulis lepas yang bersemangat membuat teknologi dapat diakses dan aman bagi semua orang. Selain teknologi, juga tertarik pada kesehatan, perjalanan, musik, dan kesehatan mental. Menguasai Teknik Mesin dari University of Surrey. Juga dapat ditemukan tulisan tentang penyakit kronis di PoTS Jots.