Cómo millones de aplicaciones son vulnerables a un solo hack de seguridad
En la conferencia de seguridad Black Hat Europe de este año, dos investigadores de la Universidad China de Hong Kong presentaron una investigación que mostró una vulnerabilidad que afectaba a las aplicaciones de Android que potencialmente podrían dejar más de mil millones de aplicaciones instaladas vulnerables a los ataques..
El exploit se basa en un ataque de intermediario de la implementación móvil del estándar de autorización OAuth 2.0. Eso suena muy técnico, pero lo que realmente significa es que sus datos están seguros?
¿Qué es OAuth??
OAuth es un estándar abierto utilizado por muchos sitios web y aplicaciones. 3 Términos de seguridad esenciales que necesita entender 3 Términos de seguridad esenciales que necesita entender ¿Confundido por cifrado? ¿Desconcertado por OAuth, o petrificado por Ransomware? Vamos a repasar algunos de los términos de seguridad más utilizados, y exactamente lo que significan. Lea más para permitirle iniciar sesión en una aplicación o sitio web de terceros usando una cuenta de uno de los muchos proveedores de OAuth. Algunos de los ejemplos más comunes y conocidos son Google, Facebook y Twitter..
El botón de inicio de sesión único (SSO) le permite otorgar acceso a la información de su cuenta. Cuando hace clic en el botón Facebook, la aplicación o el sitio web de terceros busca un token de acceso, otorgándole acceso a su información de Facebook.
Si no se encuentra este token, se le solicitará que permita el acceso de terceros a su cuenta de Facebook. Una vez que haya autorizado esto, Facebook recibe un mensaje del tercero solicitando un token de acceso..
Facebook responde con un token, otorgándole acceso de terceros a la información que usted especificó. Por ejemplo, concede acceso a su información de perfil básica y a la lista de amigos, pero no a sus fotos. El tercero recibe el token y le permite iniciar sesión con sus credenciales de Facebook. Luego, siempre que el token no caduque, tendrá acceso a la información que usted autorizó..
Esto parece un gran sistema. Debe recordar menos contraseñas y acceder fácilmente para iniciar sesión y verificar su información con una cuenta que ya tenga. Los botones SSO son aún más útiles en dispositivos móviles donde crear nuevas contraseñas, donde autorizar una nueva cuenta puede llevar mucho tiempo.
Cuál es el problema?
El marco de trabajo de OAuth más reciente, OAuth 2.0, se lanzó en octubre de 2012 y no fue diseñado para aplicaciones móviles. Esto ha llevado a muchos desarrolladores de aplicaciones a tener que implementar OAuth por su cuenta, sin orientación sobre cómo se debe hacer de forma segura..
Si bien OAuth en los sitios web utiliza la comunicación directa entre los servidores de terceros y los proveedores de SSO, las aplicaciones móviles no utilizan este método de comunicación directa. En su lugar, las aplicaciones móviles se comunican entre sí a través de su dispositivo..
Al usar OAuth en un sitio web, Facebook entrega el token de acceso y la información de autenticación directamente a los servidores de terceros. Esta información se puede validar antes de iniciar sesión en el usuario o acceder a cualquier dato personal..
Los investigadores encontraron que a un gran porcentaje de aplicaciones de Android les faltaba esta validación. En cambio, los servidores de Facebook envían el token de acceso a la aplicación de Facebook. El token de acceso se entregaría a la aplicación de terceros. La aplicación de terceros le permitiría iniciar sesión, sin verificar con los servidores de Facebook que la información del usuario era legítima.
El atacante podría iniciar sesión como ellos mismos, activando la solicitud de token OAuth. Una vez que Facebook haya autorizado el token, podrían insertarse entre los servidores de Facebook y la aplicación de Facebook. El atacante podría entonces cambiar la identificación del usuario en el token a la de la víctima. El nombre de usuario suele ser también información pública disponible, por lo que hay muy pocas barreras para el atacante. Una vez que se haya cambiado el ID de usuario, pero la autorización aún se haya otorgado, la aplicación de terceros iniciará sesión en la cuenta de la víctima.
Este tipo de vulnerabilidad es conocido como un ataque de hombre en el medio (MitM) ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques "intermediarios" pero no está seguro de lo que eso significa, este es el artículo para usted. Lee mas . Aquí es donde el atacante puede interceptar y alterar los datos, mientras que las dos partes creen que se están comunicando directamente entre sí..
Cómo te afecta esto?
Si un atacante puede engañar a una aplicación haciéndole creer que es usted, entonces el pirata informático obtiene acceso a toda la información que almacena en ese servicio. Los investigadores crearon la tabla que se muestra a continuación, que enumera parte de la información que puede exponer sobre diferentes tipos de aplicaciones..
Algunos tipos de información son menos dañinos que otros. Es menos probable que le preocupe exponer su historial de lectura de noticias que todos sus planes de viaje, o la capacidad de enviar y recibir mensajes privados en su nombre. Es un recordatorio aleccionador de los tipos de información que confiamos regularmente a terceros, y las consecuencias de su uso indebido..
Deberías preocuparte?
Los investigadores descubrieron que el 41.21% de las 600 aplicaciones más populares que admiten SSO en Google Play Store eran vulnerables al ataque MitM. Esto podría potencialmente dejar a miles de millones de usuarios en todo el mundo expuestos a este tipo de ataque. El equipo realizó su investigación en Android, pero creen que se puede replicar en iOS. Esto podría dejar a millones de aplicaciones en los dos sistemas operativos móviles más grandes vulnerables a este ataque.
En el momento de redactar este documento, no ha habido declaraciones oficiales del Grupo de trabajo de ingeniería de Internet (IETF) que desarrolló las Especificaciones de OAuth 2.0. Los investigadores se han negado a nombrar las aplicaciones afectadas, por lo que debe tener cuidado al usar SSO en aplicaciones móviles.
Hay un forro de plata.. Los investigadores ya han alertado a Google y Facebook, y otros proveedores de SSO de la explotación. Además de eso, están trabajando junto con los desarrolladores externos afectados para solucionar el problema.
Que puedes hacer ahora?
Mientras que una solución podría estar en camino, hay mucho de aplicaciones afectadas para ser actualizado. Es probable que esto lleve algún tiempo, por lo que podría valer la pena no usar el SSO mientras tanto. En cambio, cuando se registre para una nueva cuenta, asegúrese de crear una contraseña segura. 6 Consejos para crear una contraseña inquebrantable que pueda recordar. 6 Consejos para crear una contraseña inquebrantable que pueda recordar. Si sus contraseñas no son únicas e irrompibles, puede también abre la puerta principal e invita a los ladrones a almorzar. Leer más que no olvidará. O bien, o use un administrador de contraseñas. Cómo los administradores de contraseñas mantienen seguras sus contraseñas. Cómo los administradores de contraseñas mantienen seguras sus contraseñas. Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesita un administrador de contraseñas. Así es como funcionan y cómo te mantienen seguro. Leer más para hacer el trabajo pesado para usted.
Es una buena práctica llevar a cabo su propio chequeo de seguridad. Protéjase con un chequeo anual de seguridad y privacidad. Protéjase con un chequeo anual de seguridad y privacidad. Ya casi faltan dos meses para el nuevo año, pero todavía hay tiempo para hacer una resolución positiva. Olvídese de tomar menos cafeína; estamos hablando de tomar medidas para salvaguardar la seguridad y la privacidad en línea. Leer más de vez en cuando. Google incluso lo recompensará en el almacenamiento en la nube. Este chequeo de 5 minutos le dará 2 GB de espacio libre. Este chequeo de 5 minutos le brindará 2 GB de espacio libre. Si se demoran cinco minutos en realizar este chequeo de seguridad, Google lo hará. te da 2 GB de espacio libre en Google Drive. Lea más para realizar su chequeo. Este es un momento ideal para ver qué aplicaciones ha autorizado para usar Social Login. Tome estos pasos para proteger sus cuentas usando Social Login? Siga estos pasos para proteger sus cuentas Si está utilizando un servicio de inicio de sesión social (como Google o Facebook), podría pensar que todo está seguro. No es así, es hora de echar un vistazo a las debilidades de los inicios de sesión sociales. Lea más sobre sus cuentas de SSO. Esto es especialmente importante en un sitio como Facebook Cómo administrar sus inicios de sesión de Facebook de terceros [Consejos semanales de Facebook] Cómo administrar sus inicios de sesión de Facebook de terceros [Consejos semanales de Facebook] ¿Cuántas veces ha permitido que un sitio de terceros tenga ¿Acceder a tu cuenta de Facebook? Aquí es cómo puede administrar su configuración. Lea más, que almacena una gran cantidad de información muy personal Cómo descargar de forma masiva sus datos de Facebook y qué información contienen los archivos Cómo descargar de forma masiva sus datos de Facebook y qué información contienen los archivos Después de una decisión de un tribunal europeo, Facebook actualizó recientemente la función que Permite a los usuarios descargar un archivo de sus datos personales. La opción de archivo ha estado disponible desde 2010 e incluye fotos, videos y mensajes,… Leer más .
¿Crees que es hora de alejarse de Single Sign On? ¿Cuál crees que es el mejor método de inicio de sesión? ¿Te ha afectado este exploit? Háganos saber en los comentarios a continuación.!
Créditos de la imagen: Marc Bruxelle / Shutterstock
Explorar más sobre: Facebook, Seguridad de Smartphone.