Como millones de aplicaciones son vulnerables a un solo truco de seguridad
En conferencia de seguridad Sombrero Negro Europa de este año, dos investigadores de la Universidad China de Hong Kong presentaron una investigación que demostró una vulnerabilidad que afecta a aplicaciones de Android que potencialmente podrían dejar más de mil millones de aplicaciones instaladas vulnerables a los ataques.
El exploit se basa en un ataque man-in-the-middle de la aplicación móvil de la norma de autorización OAuth 2.0. Eso suena muy técnico, pero ¿qué significa en realidad, y es que sus datos seguros?
¿Qué es OAuth?
OAuth es un estándar abierto utilizado por muchos sitios web y aplicaciones que le permite conectarse a una aplicación de terceros o sitio web mediante el uso de una cuenta de uno de los muchos proveedores de OAuth. Algunos de los ejemplos más comunes y bien conocidos son Google, Facebook, y Twitter.3 Esenciales Términos de seguridad que hay que entender3 Esenciales Términos de seguridad que hay que entenderConfundido por el cifrado? Desconcertado por OAuth, o petrificado por ransomware? Vamos a repasar algunos de los términos de seguridad más utilizados, y es exactamente lo que significan.Lee mas
El botón de inicio de sesión único (SSO) permite conceder acceso a la información de su cuenta. Al hacer clic en el botón de Facebook, la aplicación de terceros o sitio web busca un token de acceso, otorgándole acceso a su información de Facebook.
Si no se encuentra este símbolo se le pedirá para permitir el acceso de terceros a su cuenta de Facebook. Una vez que usted ha autorizado esto, Facebook recibe un mensaje de la tercera parte que solicita un token de acceso.
Vídeo: Los Jóvenes Titanes en Acción! "Un Poni Con Muchos Trucos"
Facebook responde con una ficha, la concesión del acceso de terceros a la información que ha especificado. Por ejemplo, se puede conceder acceso a su información de perfil básica, y la lista de amigos, pero no sus fotos. El tercero recibe el testigo y le permite iniciar sesión con sus credenciales de Facebook. Entonces, siempre y cuando el testigo no caduca, se tendrá acceso a la información que ya autorizado.
Esto parece como un gran sistema. Hay que recordar contraseñas menos, y llegar a una sesión y verificar su información con una cuenta que ya tiene facilidad. Los botones de SSO son aún más útiles en el móvil en la creación de nuevas contraseñas, donde autorizando una nueva cuenta puede llevar mucho tiempo.
Vídeo: WhatsApp tiene un grave fallo de seguridad que debes conocer
¿Cuál es el problema?
El marco de OAuth más reciente - OAuth 2.0 - fue lanzado en octubre de 2012, y no está diseñado para aplicaciones móviles. Esto ha llevado a muchos desarrolladores de aplicaciones que tengan que aplicar OAuth por su cuenta, sin la guía de cómo debe hacerse de forma segura.
Vídeo: sistema para tomar el control de móviles el 'hackeo' SIM
Mientras que en los sitios web de OAuth utiliza la comunicación directa entre el tercero y servidores del proveedor de SSO, aplicaciones móviles no utilizan este método de comunicación directa. En su lugar, las aplicaciones móviles se comunican entre sí a través de su dispositivo.
Vídeo: Descifrar Claves Wifi desde Cualquier Android | WEP, WPA
Al usar OAuth en un sitio web, Facebook ofrece la información token de acceso y autenticación directamente a los servidores de terceros. Esta información puede ser validado antes de registrar el usuario en el acceso o cualquier dato personal.
Los investigadores encontraron que un gran porcentaje de las aplicaciones de Android que faltaban esta validación. En su lugar los servidores de Facebook envían la señal de acceso a la aplicación de Facebook. El token de acceso sería entonces ser entregado a la aplicación de terceros. La aplicación de terceros permitiría entonces que inicie sesión, sin verificar con los servidores de Facebook que la información del usuario legítimo.
El atacante podría iniciar sesión como a sí mismos, lo que provocó la solicitud de token OAuth. Una vez que Facebook ha autorizado el token, podrían insertarse entre los servidores de Facebook y la aplicación de Facebook. El atacante podría cambiar el identificador de usuario en el token a la víctima. El nombre de usuario es por lo general la información a disposición del público también, por lo que hay muy pocas barreras para el atacante. Una vez que el ID de usuario se ha cambiado - pero la autorización otorgada todavía - la aplicación de terceros será iniciar sesión con la cuenta de la víctima.
Este tipo de explotar se conoce como una man-in-the-middle (MitM) ataque. Aquí es donde el atacante es capaz de interceptar y alterar los datos, mientras que las dos partes creen que están comunicando directamente entre sí.¿Qué es un man-in-the-middle? Seguridad jerga explicados¿Qué es un man-in-the-middle? Seguridad jerga explicadosLee mas
¿Cómo te afecta esto?
Si un atacante es capaz de engañar a una aplicación en la creencia de que usted es, entonces el hacker consigue el acceso a toda la información que almacena en ese servicio. Los investigadores crearon la tabla mostrada a continuación se enumeran algunos de los cuales la información que exponer en diferentes tipos de aplicaciones.
Algunos tipos de información son menos dañinos que otros. Es menos probable que estar preocupado por la exposición de su historial de lectura de noticias que todos sus planes de viaje, o la capacidad de enviar y recibir mensajes privados en su nombre. Es un recordatorio aleccionador de los tipos de información que confiamos regularmente a terceros - y las consecuencias de su mal uso.
Debe usted preocuparse?
Los investigadores encontraron que el 41,21% de las 600 aplicaciones más populares que apoyan SSO en la tienda Play Google eran vulnerables al ataque MitM. Esto podría dejar a miles de usuarios en todo el mundo expuesto a este tipo de ataque. El equipo llevó a cabo su investigación en Android pero creen que puede ser replicado en IOS. Todo ello puede dejar a millones de aplicaciones en los dos sistemas operativos móviles más grandes vulnerables a este ataque.
En el momento de escribir esto, no ha habido declaraciones oficiales de la Internet Engineering Task Force (IETF) que desarrolló el OAuth 2.0 Especificaciones. Los investigadores han disminuido para nombrar las aplicaciones afectadas, por lo que debe tener cuidado al usar SSO en aplicaciones para móviles.
Hay un lado positivo. Los investigadores ya han alertado a Google y Facebook, y otros proveedores de SSO de la hazaña. Además de eso, están trabajando junto a los desarrolladores de terceras partes afectadas para solucionar el problema.
¿Que puedes hacer ahora?
Mientras que una solución podría estar en camino, hay mucho aplicaciones de afectados que se actualicen. Es probable que esto llevará algún tiempo, por lo que podría valer la pena no usar SSO para el medio tiempo. En cambio, cuando se registra para una cuenta nueva, asegúrese crear una contraseña segura que no olvidará. O eso, o utilizar un gestor de contraseñas para hacer el trabajo pesado para usted.6 consejos para crear una contraseña irrompible que pueda recordar6 consejos para crear una contraseña irrompible que pueda recordarSi las contraseñas no son únicos e irrompible, que también podría abrir la puerta e invitar a los ladrones la hora de comer.Lee mas
Es una buena práctica llevar a cabo su propia verificación de la seguridad de vez en cuando. Google igualará le recompensa de almacenamiento en la nube para realizar su chequeo. Este es el momento ideal para Checa lo que las aplicaciones que ha dado permiso para en sus cuentas de SSO. Esto es especialmente importante en un sitio como Facebook, que almacena una enorme cantidad de información muy personal.
Cree usted que es el momento de alejarse de Single Sign On? ¿Qué crees que es el mejor método de acceso? ¿Ha sido afectado por esta vulnerabilidad? Háganos saber en los comentarios!