Hơn 1 tỷ ứng dụng sử dụng OAuth 2.0 có thể bị tấn công từ xa

By | 11:34 am | 07/11/2016

Mobile device (mobile phone, cellphone, tablet) security concept. Protecting gesture of man and symbol of mobile device with padlock.

OAuth 2.0 cho phép ứng dụng xác thực các thông tin đăng nhập với Facebook hay Google. Tuy nhiên, có một vấn đề lớn là hơn 41% các ứng dụng sử dụng OAuth 2.0 không thực sự xác thực tài khoản của người dùng mà lại vô tình chấp nhận các tài khoản của kẻ tấn công.

  • Dịch vụ đăng nhập 1 lần (Single Sign On – SSO): Tất cả các ứng dụng trên thiết bị di động của người dùng cho phép đăng nhập bằng tài khoản Google hay Facebook. Khoảng hơn 600 ứng dụng đứng đầu danh sách xếp hàng trên Google Play sử dụng giao thức OAuth 2.0.

OAuth 2.0 hoạt động cơ bản như sau: Một người dùng nhập vào tài khoản SSO của họ, và ứng dụng kiểm tra với Google hoặc Facebook để xem liệu thông tin đó có chính xác hay không? Một khi nhà cung cấp xác minh danh tính người dùng là chính xác sẽ gửi lại cho ứng dụng 1 thẻ đăng nhập (login token).

Với SSO, rất thuận tiện để bỏ qua bước tạo tài khoản hoặc đăng nhập cho mỗi ứng dụng mà người dùng cài đặt, nhưng nó không phải là không có rủi ro, 600 ứng dụng sử dụng OAuth 2.0 có thể đặt người dùng vào rủi ro tài khoản Google hoặc Facebook của họ bị tấn công.

Việc phát hiện ra lỗ hổng nghiêm trọng này là nhờ 3 nhà nghiên cứu tại Đại học Trung Hoa: Ronghai Yang, Wing Cheong Lau, và Tianyu Liu. Nhóm nghiên cứu đã thiết lập một máy chủ để giả mạo đăng nhập MITM(Man-in-the-Middle):

  • Một ứng dụng thỏa hiệp được cài đặt trên thiết bị Android.
  • Kẻ tấn công sử dụng tài khoản đăng nhập hợp pháp của mình với Google hoặc Facebook để yêu cầu đăng nhập ứng dụng.
  • Google hoặc Facebook gửi trả về cho ứng dụng 1 thẻ đăng nhập xác thực tài khoản thành công. Kẻ tấn công sử dụng giao thức SSL tấn công Man in the Middle thay thế tài khoản của mình thành tài khoản của nạn nhân.
  • Máy chủ MITM chuyển thẻ đăng nhập đã được sửa đổi cho ứng dụng, và kẻ tấn công có quyền truy cập vào.

Hậu quả từ khai thác này là rất nghiêm trọng, nhiều ứng dụng lưu trữ hồ sơ người dùng trên các đám mây, khi một ứng dụng mới cài đặt được đăng nhập vào, tất cả dữ liệu của người dùng được mở cho phép sử dụng. Và kẻ tấn công có thể thực hiện tấn công trên bất kỳ ứng dụng nào người dùng cài đặt mà sử dụng SSO.

Vậy, sẽ là ý tưởng tốt khi khuyên người dùng không sử dụng tài khoản SSO trong 1 thời gian.

Theo: TechRepublic