Greška omogućava krađu Google i Facebook naloga na većini mobilnih aplikacija

Prošle sedmice Black Hat EU konferenciji prezentovan je istraživački rad sa nazivom „Signing into One Billion Mobile LApp Accounts Effortlessly with OAuth 2.0”.

Autori rada su tri istraživača sa univerziteta u Hong Kongu koji su otkrili napad koji omogućava krađu Google i Facebook naloga sa preko milijardu mobilnih aplikacija.

Napada iskorištava greške u implementaciji OAuth 2.0 protokola. OAuth 2.0 koristi većina third-party aplikacija kako bi prijavila svoje korisnike na Facebook ili Google.

Istraživači su testiranjem 600 najpopularnijih aplikacija u SAD-u i Kini utvrdili da je na napad ranjivo oko 42% aplikacija. Pošto su ove aplikacije preuzete oko 2.4 milijarde puta, pa je procjena da je ranjivo oko milijardu aplikacija.

Pogođene aplikacije uključuju popularne aplikacije za novosti, razmjenu poruka, muziku, finansije, rezervisanje karata, online kupovinu i mnoge druge.

Izvođenje ovog napada bi napadaču moglo dopustiti pristup privatnim informacijama kao što su poruke, slike, email-ovi i liste kontakata, a u nekim slučajevima i i finansijskim informacijama.

Problem je što korisnik najčešće ne može primjetiti da je pod napadom, jer koristi mobilne aplikacije kojima vjeruje.

Izvor:threatpost.com