Facebook、新浪微博OAuth2.0通行证惊爆漏洞,10亿APP用户账户面临盗号劫持威胁

那些支持Facebook、Google和新浪微博账号单点登录(SSO)的APP遇到大麻烦了,近日中国香港大学的三位研究者在欧洲黑帽大会上发布的研究报告“通过OAuth2.0轻松登录10亿APP账号”指出,部署糟糕的OAuth2.0安全协议,使超过10亿APP用户账户面临黑客劫持风险。此前IT经理网曾报道OAuth/OpenID协议爆出过严重漏洞,但是这次问题似乎出在了部署方式上。

 


 

研究者检测了来自中国和美国的600款支持OAuth2.0社交通行证(Facebook、Google和新浪微博)单点登录Android移动应用,发现41.2%的APP都存在安全风险,包括一些最流行的约炮、旅行(例如去哪儿、携程、艺龙)、电商、网银、视频、音乐和新闻客户端。(编者按:虽然研究者并未在论文中对存在漏洞的APP点名,但用户只需在APP或web登录页面查看是否支持新浪微博通行证登录就可判断该APP是否存在账号被盗漏洞)

 


 

研究者指出,被检测出存在SSO单点登录漏洞的APP被下载次数超过24亿次(上图),这意味着至少10亿用户的账户面临被盗或被滥用的风险,攻击者可以登录用户账户,获取里面的所有隐私信息,如果是电商或者网银APP还可以直接刷单或者购物。

研究者指出OAuth2.0的安全机制较为脆弱,并未定义安全需求,也没有定义后台如何与第三方APP安全通讯,因为“简单易用”,刺激大量定制化API支持SSO,包括新浪微博和google在内的大型互联网公司对OAuth2.0的糟糕部署使得社交账户SSO登录第三方应用变得极为危险。

论文最后呼吁新浪、Facebook和Google加强开发人员的安全培训,将授信权全部交给身份服务商的服务器,而不是任何客户端APP签发的证书。与此同时身份服务商也应当发放私有身份证书而不是依赖全球性的证书,并且应当在APP的安全检测测试中加入对OAuth2.0和OpenID协议的SSO的检测项目。

本文转自d1net(转载)

时间: 2024-10-30 21:48:24

Facebook、新浪微博OAuth2.0通行证惊爆漏洞,10亿APP用户账户面临盗号劫持威胁的相关文章

Android仿新浪微博oauth2.0授权界面实现代码(2)_Android

oauth2.0授权界面,大致流程图: 前提准备: 在新浪开放平台申请appkey和appsecret:http://open.weibo.com/. 熟悉oauth2.0协议,相关知识:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth2的access_token接口:http://open.weibo.com/wiki/OAuth2/access_token 代码详解 大致思路如下:建立一个webview加载授权界面,授权回

新浪微博Oauth2.0授权认证及SDK、API的使用(Android)

---------------------------------------------------------------------------------------------- [版权申明:本文系作者原创,转载请注明出处] 文章出处:http://blog.csdn.net/sdksdk0/article/details/51939853作者:朱培      ID:sdksdk0      邮箱: zhupei@tianfang1314.cn    -----------------

ASP.NET实现QQ、微信、新浪微博OAuth2.0授权登录[原创]_实用技巧

不管是腾讯还是新浪,查看他们的API,PHP都是有完整的接口,但对C#支持似乎都不是那么完善,都没有,腾讯是完全没有,新浪是提供第三方的,而且后期还不一定升级,NND,用第三方的动辄就一个类库,各种配置还必须按照他们约定的写,烦而且乱,索性自己写,后期的扩展也容易,看过接口后,开始以为很难,参考了几个源码之后发现也不是那么难,无非是GET或POST请求他们的接口获取返回值之类的,话不多说,这里只提供几个代码共参考,抛砖引玉了... 我这个写法的特点是,用到了Session,使用对象实例化之后调用

Android仿新浪微博oauth2.0授权界面实现代码(2)

oauth2.0授权界面,大致流程图: 前提准备: 在新浪开放平台申请appkey和appsecret:http://open.weibo.com/. 熟悉oauth2.0协议,相关知识:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth2的access_token接口:http://open.weibo.com/wiki/OAuth2/access_token 代码详解 大致思路如下:建立一个webview加载授权界面,授权回

钧多立惊爆老板“跑路”国内LED产业面临洗牌

电子元件 深圳一家2010年销售额上亿的LED企业也惊爆老板"跑路",预示着LED泡沫破灭的不祥前景.我们认为,钧多立公司的倒下,除了自身盲目扩张和运营问题外,同国内LED行业产能过剩也有关系. 分析LED泡沫破灭的原因,我们认为大致有四点,一,2011年整体经济大环境不好,全球LED产业增长低于预期,主要LED公司全年营收增长大幅下调:二,由于整体经济大环境不好,终端需求增长低于预期,致使LED价格加速下跌,国际大厂加速价格下调,价格竞争加剧:三,投资回收期拉长,资金链断裂;四,淘汰

AirDroid 爆安全隐患,千万用户数据面临黑客入侵风险

据国外技术博客 Zimperium 报道,作为 Android 系统上最好用的手机同步.备份软件,AirDroid 被爆使用静态加密.简单加密的方法来传输软件更新文件和敏感用户数据.只要黑客或恶意入侵者与使用 AirDroid 用户在同一网络中,黑客就可以利用这一漏洞来远程控制设备,获取设备的完整控制权,给用户安全造成威胁. 据悉自今年 5 月开始,这一漏洞就一直存在在 AirDroid 开发者版的软件中,版本号高于 4.0.0.1 的版本都存在这一漏洞.据ArsTechnica报道,截至12月

Facebook将进军中国与日本市场目标10亿用户

近日消息,据国外媒体报道,Facebook下一阶段的扩张正瞄准中国.俄罗斯.日本和韩国市场,以改变增长速度日渐放缓的局面. 全球最大社交网站Facebook创始人兼首席执行官马克-扎克伯格(Mark Zuckerberg)表示,尽管Facebook已经拥有了5亿多的会员,但要维持快速增长看起来不太可能.扎克伯格在接受Inside Facebook采访时表示,我们经历快速增长已经有很长时间了,目前仍在增长. 马克-扎克伯格本周三出席戛纳国际广告节时表示,Facebook将很快实施首次战略举措.他说

phpBB 2.0.13惊现漏洞的解决_漏洞研究

一.Path Disclosure  漏洞文件/db/oracle.php 漏洞描叙直接访问oracle.php导致暴露web路径 涉及版本phpbb <=2.013 测试ie提交http://127.0.0.1/phpBB2/db/oracle.php 返回错误 Fatal error: Cannot redeclare sql_nextid() in f:\easyphp1-7\www\phpbb2\db\oracle.php on line 405 解决办法 如果你不是采用的oracle数

Yahoo Mail惊爆漏洞 密码进行明文传输

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 Yahoo的Zimbra客户端爆出了一个超大漏洞!你的Yahoo邮箱密码很可能正在泄漏给他人. 据Holden Karau介绍,不知为何,Zimbra访问Yahoo Mail时居然让密码进行明文传输!在他的blog中提到,他是在Waterloo大学的Yahoo Hack日上发现此漏洞的. 这个漏洞应该是因为Yahoo的IMAP服务器不支持SS