Facebook、新浪微博OAuth2.0通行证惊爆漏洞,10亿APP用户账户面临盗号劫持威胁

简介:

那些支持Facebook、Google和新浪微博账号单点登录(SSO)的APP遇到大麻烦了,近日中国香港大学的三位研究者在欧洲黑帽大会上发布的研究报告“通过OAuth2.0轻松登录10亿APP账号”指出,部署糟糕的OAuth2.0安全协议,使超过10亿APP用户账户面临黑客劫持风险。此前IT经理网曾报道OAuth/OpenID协议爆出过严重漏洞,但是这次问题似乎出在了部署方式上。

 

新浪微博SSO通行证漏洞

 

研究者检测了来自中国和美国的600款支持OAuth2.0社交通行证(Facebook、Google和新浪微博)单点登录Android移动应用,发现41.2%的APP都存在安全风险,包括一些最流行的约炮、旅行(例如去哪儿、携程、艺龙)、电商、网银、视频、音乐和新闻客户端。(编者按:虽然研究者并未在论文中对存在漏洞的APP点名,但用户只需在APP或web登录页面查看是否支持新浪微博通行证登录就可判断该APP是否存在账号被盗漏洞)

 

受新浪微博、Facebook和Google账号通行证SSO漏洞影响的APP

 

研究者指出,被检测出存在SSO单点登录漏洞的APP被下载次数超过24亿次(上图),这意味着至少10亿用户的账户面临被盗或被滥用的风险,攻击者可以登录用户账户,获取里面的所有隐私信息,如果是电商或者网银APP还可以直接刷单或者购物。

研究者指出OAuth2.0的安全机制较为脆弱,并未定义安全需求,也没有定义后台如何与第三方APP安全通讯,因为“简单易用”,刺激大量定制化API支持SSO,包括新浪微博和google在内的大型互联网公司对OAuth2.0的糟糕部署使得社交账户SSO登录第三方应用变得极为危险。

论文最后呼吁新浪、Facebook和Google加强开发人员的安全培训,将授信权全部交给身份服务商的服务器,而不是任何客户端APP签发的证书。与此同时身份服务商也应当发放私有身份证书而不是依赖全球性的证书,并且应当在APP的安全检测测试中加入对OAuth2.0和OpenID协议的SSO的检测项目。


本文转自d1net(转载)

目录
相关文章
|
2月前
|
负载均衡 网络协议 安全
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
|
12月前
|
数据安全/隐私保护 Android开发 iOS开发
解决第三方邮箱APP登陆QQ、163邮箱无法验证账户名或密码的问题(IOS、MacOS、Windows、Android)
解决第三方邮箱APP登陆QQ、163邮箱无法验证账户名或密码的问题(IOS、MacOS、Windows、Android)
198 0
|
12月前
|
开发工具 Android开发 数据安全/隐私保护
AppsFlyer 研究(十四)创建 Facebook App 获取FaceBook App ID
AppsFlyer 研究(十四)创建 Facebook App 获取FaceBook App ID
311 0
|
iOS开发
|
供应链 安全 JavaScript
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
|
安全 测试技术 网络安全
APP做漏洞渗透测试服务的重要性
很多新开发未上线的网站或APP项目平台,都对漏洞安全问题缺乏积极性导致后期出现很多漏洞而造成的损失,因为开发公司只开发设计实现功能,对安全性和漏洞是无法去检测的,术业有专攻,安全方面一定要交给网站安全公司来做,比如有做对网站或APP进行漏洞测试检测有无漏洞等问题的可以向SINE安全寻求技术支持,因为网站漏洞和咱电脑的系统补丁一个道理,每月都会出漏洞补丁要下载修复,而网站漏洞也是要每月定期排查。
139 0
|
存储 传感器 运维
微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万
微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万
174 0
微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万
|
运维 安全 关系型数据库
APP数据被泄露接到境外电话 该怎么查服务器漏洞
上海经济7月份开始陆续恢复,一些在上海做APP项目的客户开始了一系列的营销推广和发展,在众多渠道推广下,用户下载安装APP的同时,一些安全上的漏洞频发,并被高级黑客给盯上,具体的数据泄露攻击的症状为:用户刚注册好的用户信息就被泄露,不一会就会收到电话推广营销,并且有些用户的数据被恶意篡改,导致APP运营平台损失较大,比如一些用户借贷额度被篡改成20w的额度,APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务,要求尽快找出漏洞问题的原因以及攻击进行溯源。
269 0
APP数据被泄露接到境外电话 该怎么查服务器漏洞
|
Web App开发 安全 Java
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
197 0
APP - 查询名下微信实名账户(可注销微信封号账户支付功能)
APP - 查询名下微信实名账户(可注销微信封号账户支付功能)
732 0
APP - 查询名下微信实名账户(可注销微信封号账户支付功能)