Qual è l'impatto del difetto OAuth 2 sul mio account social e sui miei dispositivi connessi?

Naviga le tue risposte
1

Secondo forbes , l'utilizzo del single sign-on tramite account social per accedere ad alcune applicazioni può consentire a un utente malintenzionato di dirottare l'account dell'utente

the flaws can be exploited remotely by an attacker to sign into a victim’s mobile app account without any awareness of the victim.

I ricercatori hanno affermato che oltre 2,4 miliardi di download sono vulnerabili a questo problema.

Qual è l'impatto del difetto OAuth 2 sul mio account social e sui miei dispositivi connessi?

    
posta GAD3R 11.11.2016 - 14:00
fonte

1 risposta

2

Questo non è un difetto in OAuth 2 ma nella fiducia implicita che alcuni sviluppatori hanno inserito nei dati forniti da un provider di identità (IDp).

L'attacco menzionato nella ricerca originale si basa sulla manipolazione dell'intransito di dati tra 2 app sul dispositivo o tra un client e un server (o il provider Oauth o un servizio di terze parti).

Si riduce all'impossibilità di riconoscere che non ci si può semplicemente fidare di un dispositivo dell'utente finale (o di qualsiasi dispositivo al di fuori del proprio controllo), quindi gli sviluppatori delle applicazioni dovrebbero considerare i dati come "malvagi" (come dovrebbero essere trattati tutti gli input dell'utente ) e supponiamo che sarà manomesso.

l'attacco sfrutta questo errore fornendo un token di accesso corretto ma i dettagli utente errati (come l'utilizzo del mio token di accesso e il tuo indirizzo e-mail) che andranno al server di terze parti e saranno utilizzati come mezzo per identificarmi (quindi sarò identificato come te come è stata fornita la tua email). Per farmi fare tutto ciò di cui ho bisogno è il tuo indirizzo email (facile da ottenere). Questi server avrebbero dovuto essere programmati in un modo diverso. cioè dovrebbero recuperare il proprio stato dei dettagli dell'utente utilizzando il token di accesso recuperato dall'app. e convalidare che questi sono gli stessi forniti.

Ora, come tutto questo si traduce nella tua domanda di impatto sui tuoi dispositivi.  Temo che la testata sia e sarà quasi certamente sempre "non lo sappiamo", dal momento che il flusso è un fraintendimento dei protocolli e dei rischi. Dal momento che ci sono molte App, semplicemente non possiamo testarle tutte se sono vulnerabili per questo abuso. Dal momento che l'exploit non richiede nulla dalla vittima, ma dati "pubblici" potresti essere a rischio senza usare affatto login oauth 2. Questo è qualcosa che gli sviluppatori di queste app e servizi devono risolvere. e tutto ciò che facciamo è chiedere loro di dimostrare che non sono vulnerabili (ad esempio, chiedigli di fare un pen-test)

    
risposta data 11.11.2016 - 14:48
fonte

Leggi altre domande sui tag

Impossibile utilizzare il metodo PUT sul server che sembra consentire PUT [chiuso] La macchina è stata compromessa? (server iRedMail, registri strani)