Token di accesso Android e accesso a tutti i servizi Google

2

La mia domanda si basa sulla risposta a questa domanda: La password di Gmail può essere ripristinata dal App Gmail per Android?

Quindi, come comprendo quando configuriamo l'account Google su dispositivi Android, esso memorizza solo un token per esso. Ma Google limita l'accesso ai propri servizi per quel token? Come so dopo aver impostato le credenziali sul dispositivo, possiamo utilizzare molte applicazioni Google all'interno dello stesso token, come Gmail, Google Plus, Youtube, Google Calendar, Play Store, Chrome, ecc. E anche Chrome verrà autenticato all'interno di questo token per la navigazione web.

Quindi vuol dire che se qualcuno ruba quel token, possiamo fare tutte queste operazioni manualmente?

Lo so, se usiamo Google OAuth per alcune autorizzazioni, il token creato verrà limitato solo alle autorizzazioni che abbiamo richiesto. Ma Android acquisisce un potente token che funziona per tutti i servizi di Google?

    
posta Sergey Litvinov 03.11.2013 - 15:23
fonte

1 risposta

2

Google utilizza un token bearer OAuth per autenticare le applicazioni su risorse supportate. L'utente deve ancora digitare il nome utente e la password per ottenere questo token.

Quindi un utente malintenzionato può dirottare il token? Sì, se un utente malintenzionato ha radicato il telefono di una vittima, può leggere qualsiasi segreto sul dispositivo. Quindi un utente malintenzionato può ottenere il token di autenticazione da un'app Google utilizzando un debugger (o un altro metodo) e quindi ottenere l'accesso autorizzato a un servizio Google dal telefono ... Quindi mantieni aggiornato il tuo sistema.

Gli attacchi contro token di autenticazione mobile simili possono risultare accedendo accidentalmente al token. Questa è una vulnerabilità piuttosto comune, ma Google non farebbe questo errore. (Google ha problemi di sicurezza e il programma bug bounty mi ha trattato bene.)

    
risposta data 03.11.2013 - 19:50
fonte

Leggi altre domande sui tag