Clicky

Más de mil millones de cuentas de Apps móviles pueden ser secuestradas de forma remota con un simple hack

autenticación OAuth

Se han puesto en riesgo la mayoría de las apps más populares con servicio de inicio de sesión único con OAuth 2.0

Investigadores de seguridad han descubierto una forma de acceder a un gran número de Apps Android e iOS que podría permitir registrarse de forma remota en cuentas de cualquier víctima sin ningún conocimiento de la misma.

Un grupo de tres investigadores - Ronghai Yang, Chang Yong-Lau, y tianyu Liu - de la Universidad china de Hong Kong ha encontrado [según PPT] que la mayoría de las aplicaciones móviles más populares que soportan servicio de inicio de sesión único (SSO, del inglés Single Sign-On) se han puesto en práctica insegura con OAuth 2.0.

OAuth (Open Authorization) es un estándar abierto para la autorización que permite a los usuarios iniciar sesión en otros servicios de terceros mediante la verificación de la identidad actual de sus cuentas de Google, Facebook o la firma china Sina.

Este proceso permite a los usuarios iniciar sesión en cualquier servicio sin proporcionar nombres de usuario o contraseñas adicionales.

¿Cómo deben implementar OAuth los desarrolladores de aplicaciones? (Manera correcta)

protocolo OAuth bien

Cuando un usuario inicia una sesión en una aplicación de terceros a través de OAuth, los controles de aplicaciones con el proveedor de identidad, digamos, Facebook, deben tener detalles de autenticación correctos. Si lo consigue, OAuth obtendrá un 'token de acceso "de Facebook que a continuación se emite al servidor de esa aplicación móvil.

Una vez que se emite el token de acceso, el servidor de aplicaciones solicita la información de autenticación del usuario de Facebook, la verifica y luego deja que el usuario realice la conexión con sus credenciales de Facebook.

¿Cómo han implementando en realidad OAuth los desarrolladores de aplicaciones? (Manera incorrecta)

protocolo OAuth mal

Los investigadores encontraron que los promotores de un enorme número de aplicaciones de Android no comprobaron adecuadamente la validez de la información enviada desde el proveedor de identificación, como Facebook, Google o Sina.

En lugar de verificar la información de OAuth (Token de acceso) que se adjunta a la información de autenticación del usuario para validar si el proveedor de usuario e ID están vinculados, el servidor de aplicación sólo comprobaría si es recuperado el ID de usuario del proveedor de identificación.

Debido a este error, los hackers remotos puede descargar la aplicación vulnerable, iniciar sesión con su propia información y luego cambiar su nombre de usuario a la persona que quieren dirigirse (que los hackers podrían adivinar o Google) mediante la creación de un servidor para modificar los datos enviados desde Facebook, Google u otros proveedores de identidad.

una vez hecho, esto otorgaría el control total del hacker a los datos contenidos dentro de la aplicación, informa Forbes.

¿El impacto? Si los hackers irrumpieron en aplicación de viaje de la víctima, podrían aprender los horarios de la víctima; si se introdujeron en una aplicación de reservas de hotel, podían reservar una habitación para ellos y hacer que la pague víctima; o simplemente robar los datos personales de la víctima, tales como la dirección de residencia o datos bancarios.

"El protocolo OAuth es bastante complicado", dijo Lau a Forbes. "Una gran cantidad de desarrolladores de terceras partes son tiendas de mamá y papá tiendas, por lo que no tienen la capacidad. La mayor parte del tiempo están usando las recomendaciones de Google y Facebook, pero si no lo hacen correctamente, sus aplicaciones estarán abiertas".

Los investigadores han encontrado cientos de populares aplicaciones de Android chinas y de Estados Unidos que soportan el servicio de SSO con un total de más de 2,4 mil millones de descargas que son vulnerables a este problema.

Teniendo en cuenta el número de usuarios que optan por los inicios de sesión basados en OAuth, los investigadores estiman que están en riesgo de ser secuestradas con un ataque más de mil millones de diferentes cuentas de aplicaciones móviles.

Los investigadores no probaron sus exploits en iPhones, pero creían que su ataque podría trabajar en cualquier aplicación vulnerable instalada en el sistema operativo móvil iOS de Apple.

"A pesar de que nuestro ataque actual ha sido demostrado a través de la plataforma Android, el exploit por sí mismo es independiente de la plataforma: se ve afectado cualquier usuario de la aplicación Android o iOS móvil vulnerable, siempre y cuando él/ella haya utilizado antes con la aplicación el servicio SSO basado en OAuth2.0", dijeron los investigadores.

Yang y Lau presentaron el viernes su trabajo de investigación titulado, Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0 (Iniciar sesión sin esfuerzo en mil millones de cuentas de aplicación móvil con OAuth2.0), en la conferencia Black Hat Europe.

Jesus_Caceres