那些支持Facebook、Google和新浪微博账号单点登录(SSO)的APP遇到大麻烦了,近日中国香港大学的三位研究者在欧洲黑帽大会上发布的研究报告“通过OAuth2.0轻松登录10亿APP账号”指出,部署糟糕的OAuth2.0安全协议,使超过10亿APP用户账户面临黑客劫持风险。此前IT经理网曾报道OAuth/OpenID协议爆出过严重漏洞,但是这次问题似乎出在了部署方式上。
研究者检测了来自中国和美国的600款支持OAuth2.0社交通行证(Facebook、Google和新浪微博)单点登录Android移动应用,发现41.2%的APP都存在安全风险,包括一些最流行的约炮、旅行(例如去哪儿、携程、艺龙)、电商、网银、视频、音乐和新闻客户端。(编者按:虽然研究者并未在论文中对存在漏洞的APP点名,但用户只需在APP或web登录页面查看是否支持新浪微博通行证登录就可判断该APP是否存在账号被盗漏洞)
研究者指出,被检测出存在SSO单点登录漏洞的APP被下载次数超过24亿次(上图),这意味着至少10亿用户的账户面临被盗或被滥用的风险,攻击者可以登录用户账户,获取里面的所有隐私信息,如果是电商或者网银APP还可以直接刷单或者购物。
研究者指出OAuth2.0的安全机制较为脆弱,并未定义安全需求,也没有定义后台如何与第三方APP安全通讯,因为“简单易用”,刺激大量定制化API支持SSO,包括新浪微博和google在内的大型互联网公司对OAuth2.0的糟糕部署使得社交账户SSO登录第三方应用变得极为危险。
论文最后呼吁新浪、Facebook和Google加强开发人员的安全培训,将授信权全部交给身份服务商的服务器,而不是任何客户端APP签发的证书。与此同时身份服务商也应当发放私有身份证书而不是依赖全球性的证书,并且应当在APP的安全检测测试中加入对OAuth2.0和OpenID协议的SSO的检测项目。
本文转自d1net(转载)