İlan
Bu yılki Black Hat Avrupa güvenlik konferansında, Çin Hong Kong Üniversitesi'nden iki araştırmacı Android uygulamalarını etkileyen bir istismar gösteren araştırmalar sundu potansiyel olarak bir milyardan fazla yüklü uygulamayı saldırılara karşı savunmasız bırakabilir.
İstismar, OAuth 2.0 yetkilendirme standardının mobil uygulamasının ortadaki bir saldırısına dayanıyor. Kulağa çok teknik geliyor, ama aslında ne anlama geliyor ve verileriniz güvenli mi?
OAuth Nedir?
OAuth, birçok web sitesi ve uygulama tarafından kullanılan açık bir standarttır Anlamanız Gereken 3 Temel Güvenlik KoşullarıŞifreleme ile karıştınız mı? OAuth tarafından şaşkın mı yoksa Ransomware tarafından taşlaşmış mı? En sık kullanılan güvenlik terimlerinin bazılarını ve tam olarak ne anlama geldiğini inceleyelim. Daha fazla oku birçok OAuth sağlayıcısından birinden bir hesap kullanarak üçüncü taraf bir uygulamada veya web sitesinde oturum açmanıza izin vermek için. En yaygın ve iyi bilinen örneklerden bazıları Google, Facebook ve Twitter'dır.
Tek Oturum Açma (TOA) düğmesi hesap bilgilerinize erişim izni vermenizi sağlar. Facebook düğmesini tıkladığınızda, üçüncü taraf uygulaması veya web sitesi, Facebook bilgilerinize erişmesine izin veren bir erişim belirteci arar.
Bu simge bulunmazsa, üçüncü tarafların Facebook hesabınıza erişmesine izin vermeniz istenir. Bunu yetkilendirdiğinizde, Facebook üçüncü taraftan erişim belirteci isteyen bir mesaj alır.
Facebook, üçüncü taraflara belirttiğiniz bilgilere erişim izni vererek bir jetonla yanıt verir. Örneğin, fotoğraflarınıza değil, temel profil bilgilerinize ve arkadaş listenize erişim izni verirsiniz. Üçüncü taraf, jetonu alır ve Facebook kimlik bilgilerinizle giriş yapmanızı sağlar. Ardından, simgenin süresi dolmadığı sürece, yetkilendirdiğiniz bilgilere erişebilir.
Bu harika bir sistem gibi görünüyor. Daha az şifreyi hatırlamanız ve sahip olduğunuz bir hesapla bilgilerinizi kolayca girip doğrulamanız gerekir. TOA düğmeleri, yeni bir hesap oluşturmanın zaman alıcı olabileceği yeni şifreler oluştururken mobil cihazlarda daha da kullanışlıdır.
Sorun ne?
En yeni OAuth çerçevesi - OAuth 2.0 - Ekim 2012'de piyasaya sürüldü ve mobil uygulamalar için tasarlanmadı. Bu, birçok uygulama geliştiricisinin, güvenli bir şekilde nasıl yapılması gerektiği konusunda rehberlik etmeden OAuth'u kendi başlarına uygulamak zorunda kalmasına neden oldu.
Web sitelerindeki OAuth, üçüncü taraf ve TOA sağlayıcısının sunucuları arasında doğrudan iletişim kullanırken, mobil uygulamalar bu doğrudan iletişim yöntemini kullanmaz. Bunun yerine, mobil uygulamalar cihazınız aracılığıyla birbirleriyle iletişim kurar.
Bir web sitesinde OAuth kullanırken, Facebook erişim belirteci ve kimlik doğrulama bilgilerini doğrudan üçüncü taraf sunuculara iletir. Bu bilgiler daha sonra kullanıcı oturum açmadan veya herhangi bir kişisel verilere erişmeden önce doğrulanabilir.
Araştırmacılar, Android uygulamalarının büyük bir yüzdesinin bu doğrulamayı kaçırdığını buldular. Bunun yerine Facebook’un sunucuları erişim kodunu Facebook uygulamasına gönderir. Erişim belirteci daha sonra üçüncü taraf uygulamasına teslim edilir. Üçüncü taraf uygulaması, Facebook’un sunucularıyla kullanıcı bilgilerinin yasal olduğunu doğrulamadan giriş yapmanıza izin verir.
Saldırgan OAuth jetonu isteğini tetikleyerek kendileri olarak giriş yapabilir. Facebook belirteci onayladıktan sonra, kendilerini Facebook’un sunucuları ve Facebook uygulaması arasına yerleştirebilirler. Böylece saldırgan, belirteç üzerindeki kullanıcı kimliğini kurbanın kimliğine değiştirebilir. Kullanıcı adı genellikle halka açık bilgilerdir, bu nedenle saldırgan için çok az engel vardır. Kullanıcı kimliği değiştiğinde - ancak yetkilendirme yine de verildiğinde - üçüncü taraf uygulaması kurbanın hesabı altında oturum açacaktır.
Bu tür istismarlar ortadaki adam (MitM) saldırısı Ortadaki Adam Saldırısı Nedir? Güvenlik Jargonu Açıklandı"Ortadaki adam" saldırılarını duyduysanız ancak bunun ne anlama geldiğinden emin değilseniz, bu sizin için bir makaledir. Daha fazla oku . Bu, saldırganın verileri yakalayabildiği ve değiştirebildiği yerdir; iki taraf da doğrudan birbirleriyle iletişim kurduğuna inanır.
Bu Sizi Nasıl Etkiler?
Bir saldırgan bir uygulamayı kendinizin olduğuna inanmak için kandırabilirse, bilgisayar korsanı bu hizmette depoladığınız tüm bilgilere erişim kazanır. Araştırmacılar, aşağıda gösterilen ve farklı uygulama türlerinde gösterebileceğiniz bazı bilgileri listeleyen tabloyu oluşturdular.
Bazı bilgi türleri diğerlerine göre daha az zararlıdır. Haber okuma geçmişinizi ifşa etme konusunda tüm seyahat planlarınızdan veya adınıza özel mesaj gönderme ve alma yeteneğinden daha az endişe edersiniz. Bu, üçüncü taraflara düzenli olarak emanet ettiğimiz bilgi türlerinin ve kötüye kullanımının sonuçlarının ayıklayıcı bir hatırlatıcısıdır.
Endişelenmeli misin?
Araştırmacılar, Google Play Store'da TOA'yı destekleyen en popüler 600 uygulamanın% 41,21'inin MitM saldırısına karşı savunmasız olduğunu buldu. Bu, potansiyel olarak dünya çapında milyarlarca kullanıcıyı bu tür saldırılara maruz bırakabilir. Ekip Android'de araştırmalarını yaptı, ancak iOS'ta çoğaltılabileceğine inanıyorlar. Bu, potansiyel olarak en büyük iki mobil işletim sistemindeki milyonlarca uygulamayı bu saldırıya karşı savunmasız bırakacaktır.
Yazım sırasında, internet Mühendisliği Görev Gücü'nden (IETF) OAuth 2.0 Spesifikasyonlarını geliştiren resmi bir açıklama yapılmamıştır. Araştırmacılar etkilenen uygulamaları adlandırmayı reddetti, bu nedenle mobil uygulamalarda TOA kullanırken dikkatli olmalısınız.
Gümüş bir astar var. Araştırmacılar zaten Google ve Facebook'u ve istismarın diğer TOA sağlayıcılarını uyardılar. Bunun da ötesinde, sorunu çözmek için etkilenen üçüncü taraf geliştiricilerle birlikte çalışıyorlar.
Şimdi Ne Yapabilirsiniz?
Bir düzeltme yolda olsa da, çok güncellenecek etkilenen uygulamalardan Bu biraz zaman alacaktır, bu nedenle bu arada TOA kullanmamaya değer olabilir. Bunun yerine, yeni bir hesaba kaydolduğunuzda, güçlü bir şifre oluştur Hatırlayabileceğiniz Kırılmaz Bir Şifre Oluşturmak İçin 6 İpucuŞifreleriniz benzersiz ve kırılmaz değilse, ön kapıyı açıp soyguncuları öğle yemeğine davet edebilirsiniz. Daha fazla oku unutmayacaksın. Ya bu ya şifre yöneticisi kullan Parola Yöneticileri Parolalarınızı Nasıl Güvende tutar?Kırılması zor parolaları da hatırlamak zordur. Güvende olmak ister misiniz? Bir şifre yöneticisine ihtiyacınız var. İşte nasıl çalıştıkları ve sizi nasıl güvende tuttukları. Daha fazla oku sizin için ağır kaldırma yapmak.
İyi bir uygulama kendi güvenlik kontrolünü yap Yıllık Güvenlik ve Gizlilik Kontrolü ile Kendinizi KoruyunYeni yıla neredeyse iki ay kalmıştık, ancak yine de olumlu bir karar verme zamanı var. Daha az kafein içmeyi unutun - çevrimiçi güvenliği ve gizliliği korumak için adımlar atmaktan bahsediyoruz. Daha fazla oku zamandan zamana. Google bile bulut depolama alanında ödüllendir Bu 5 Dakikalık Google Checkup size 2 GB Boş Alan VerecekBu güvenlik kontrolünden geçmek için beş dakikanızı alırsanız, Google size Google Drive'da 2 GB boş alan sağlar. Daha fazla oku kontrolleri için. Bu ideal bir zamandır hangi uygulamalara izin verdiğinizi kontrol edin Sosyal Giriş'i mi kullanıyorsunuz? Hesaplarınızı Güvenceye Almak için Bu Adımları İzleyinBir sosyal giriş hizmeti (Google veya Facebook gibi) kullanıyorsanız, her şeyin güvenli olduğunu düşünebilirsiniz. Öyle değil - sosyal girişlerin zayıf yönlerine bakmanın zamanı geldi. Daha fazla oku TOA hesaplarınızda. Bu özellikle Facebook gibi bir sitede önemli Üçüncü Taraf Facebook Girişlerinizi Yönetme [Haftalık Facebook İpuçları]Bir üçüncü taraf sitesinin Facebook hesabınıza kaç kez erişmesine izin verdiniz? Ayarlarınızı nasıl yönetebileceğiniz aşağıda açıklanmıştır. Daha fazla oku , bir muazzam miktarda çok kişisel bilgi Tüm Facebook Geçmişinizi İndirmeYıllar geçtikçe Facebook sizinle ilgili birçok veri topladı. Bu yazıda, Facebook geçmişinizi nasıl indireceğinizi ve içinde gizlice bulmanız muhtemel olanları açıklıyoruz. Daha fazla oku .
Sizce Tek Oturum Açma'dan uzaklaşmanın zamanı geldi mi? Sizce en iyi giriş yöntemi hangisidir? Bu istismardan etkilendin mi? Aşağıdaki yorumlarda bize bildirin!
Görüntü Kredisi: Marc Bruxelle / Shutterstock
James, MakeUseOf'un Satın Alma Kılavuzları ve Donanım Haber Editörü ve serbest yazar, teknolojiyi herkes için erişilebilir ve güvenli hale getirme konusunda tutkulu. Teknolojinin yanı sıra sağlık, seyahat, müzik ve zihinsel sağlıkla da ilgileniyor. Surrey Üniversitesi Makine Mühendisliği BEng. PoTS Jots'ta kronik hastalık hakkında yazarken de bulunabilir.
