Investigadores de seguridad han descubierto una manera de entrar a un gran número de Android e iOS que podría permitir que se registren de forma remota en una cuenta la aplicación móvil sin ningún conocimiento de la víctima.
Un grupo de tres investigadores ( Ronghai Yang, Chang Yong-Lau, y tianyu Liu ) de la Universidad china de Hong Kong ha encontrado [ PPT ] que la mayoría de las aplicaciones móviles más populares que apoyan servicio de inicio de sesión único (SSO) han puesto en práctica insegura OAuth 2.0.
OAuth 2.0 es un estándar abierto para la autorización que permite a los usuarios sesión para otros servicios de terceros mediante la verificación de la identidad actual de sus cuentas de Google, Facebook, o firma china Sina.
Este proceso permite a los usuarios iniciar sesión en cualquier servicio sin proporcionar nombres de usuario o contraseñas adicionales.
¿ Cómo los desarrolladores de aplicaciones deben implementar OAuth ? (Manera correcta)
Cuando un usuario inicia una sesión en una aplicación de terceros a través de OAuth, los controles de aplicaciones con el proveedor de identidad, digamos, Facebook, que tiene detalles de autenticación correctos. Si lo hace, OAuth tendrá un ‘token de acceso» de Facebook que se emite a continuación al servidor de esa aplicación móvil.
Una vez que se emite el token de acceso, el servidor de aplicaciones solicita información de autenticación del usuario de Facebook, verificarla y luego dejar que el la conexión del usuario con su/sus credenciales de Facebook.
¿Cómo los desarrolladores de aplicaciones en realidad han implementando OAuth? (Sentido Contrario)
Los investigadores encontraron que los promotores de un enorme número de aplicaciones de Android no comprobaron adecuadamente la validez de la información enviada desde el proveedor de identificadores, como Facebook, Google o Sina.
En lugar de verificar la información de OAuth (Token de acceso) se adjunta a la información de autenticación del usuario para validar si el proveedor de usuario e ID están vinculados, el servidor de aplicación sólo comprueba el ID de usuario recuperado del proveedor.
Debido a este error, un hacker remoto puede descargar la aplicación vulnerable, acceder a su propia información y luego cambiar nombre de usuario del individuo que quiere (el hacker podría adivinar o Google) mediante la creación de un servidor para modificar los datos enviados desde Facebook, Google o de otros proveedores de identidad.
Una vez hecho esto, esto otorgaría el control total del los datos contenidos dentro de la aplicación, informa Forbes. Si los hackers irrumpieron en aplicación de la víctima, podrían reconocer las listas de la víctima, si se conectó en una aplicación de reservas de hotel, podían reservar una habitación para ellos y la paga víctima, o simplemente robar datos personales, tales como dirección de residencia o datos bancarios.
«El protocolo OAuth es bastante complicado,» dijo Lau a Forbes. «Una gran cantidad de desarrolladores de terceras partes son de tiendas y no tienen la capacidad. La mayor parte del tiempo que están usando recomendaciones de Google y Facebook, pero si no lo hace correctamente, sus aplicaciones serán abiertas».
Los investigadores han encontrado cientos de aplicaciones de Android chinos populares de Estados Unidos y que soportan el servicio de SSO con un total de más de 2,4 mil millones de descargas que son vulnerables a este problema.
Teniendo en cuenta el número de usuarios que optan por los inicios de sesión basados en OAuth, los investigadores estiman que más de mil millones diferentes aplicaciones móviles están en riesgo de ser secuestrado con este ataque.
Los investigadores no han probado en iPhones, pero creían que este ataque sería en cualquier aplicación vulnerable en el sistema operativo móvil iOS de Apple.
«A pesar de que este ataque fué demostrado a través de la plataforma Android, pero puede ser independiente de la plataforma: cualquier usuario de Android o iOS de la aplicación móvil vulnerables se ve afectada, siempre y cuando él/ella ha utilizado el servicio SSO basado en OAuth2.0 con la aplicación antes», los investigadores dijeron.
Yang y Lau presentaron su trabajo de investigación titulado, Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0 en el Black Hat Europe el viernes.