香港中文大学的三名研究人员在 Black Hat EU 报告(PDF)发现了 OAuth 2.0 单点登录第三方移动应用实现的漏洞,允许攻击者通过恶意应用或网络中间人监听的方式在受害者不知情下远程劫持用户帐户。 研
究人员研究了三大身份提供商新浪、Facebook 和 Google 的 OAuth 2.0 API,这些身份提供商的注册用户数超过了 8
亿、15 亿和 25 亿,它们被广泛用于第三方移动应用的单点登录。研究人员检查了200个最受欢迎的中国移动应用和 400
个最受欢迎的美国的移动应用,发现支持新浪账号登录的中国应用有约 70% 账号易被劫持,相比之下 Facebook 是 15.25%,Google
是 8%。 存在漏洞的移动应用下载量超过 24 亿,如图所示,大部分存在漏洞的移动应用使用的是新浪的单点登录,研究人员没有公布应用的名字,只是透露了这些移动应用的类型和下载量,通过这些信息还是有可能大概猜测出哪些应用存在漏洞。
来自:Solidot奇客 |
