¿Cómo verifico que los diálogos de inicio de sesión sociales en la aplicación sean seguros?

Navega tus respuestas
23

Si tengo una aplicación móvil que admite algún tipo de función de inicio de sesión social, por ejemplo, para iniciar sesión en la aplicación desde mi cuenta de Facebook, y si la aplicación abre la página de inicio de sesión de Facebook dentro de la aplicación en un dispositivo móvil, ¿hay alguna manera? para verificar que estoy realmente conectado al sitio de Facebook?

Esto es de una aplicación que me permite sincronizar la foto del perfil de Instagram con los contactos de mi teléfono. Confío en esta aplicación, y una vez que inicie sesión, debo aceptar los permisos de la aplicación.

El problema es que los enlaces no se abren en un navegador estándar y no puedo verificar la URL. Si alguien creara una aplicación, agregara dicho botón de inicio de sesión y abriera un sitio falso para recopilar mi contraseña, me parece muy posible porque no puedo ver ninguna información de certificado de HTTPS EV o mucho menos la URL de la página de inicio de sesión.

  • como consumidor, ¿cómo puedo asegurarme de que dichas páginas de inicio de sesión incrustadas son legítimas?
pregunta Ayesh K 24.01.2016 - 08:42
fuente

2 respuestas

19

No puede, al menos no hasta que los desarrolladores de sistemas operativos móviles detengan priorizando UX sobre seguridad .

Por ahora, lo mejor que puede hacer es asegurarse de que la aplicación que está usando sea de un desarrollador legítimo y confiable, y las credenciales que solicita están relacionadas con la función de la aplicación (una aplicación de fotos que solicita las credenciales de Instagram para publicarlo parece estar bien, pero la misma aplicación de fotos que solicita las credenciales de Spotify sería más sospechosa). Además, debe considerar esa cuenta particular comprometida por el desarrollador de la aplicación, por lo que no debe usar esa cuenta para obtener información que no quiere que vean. En algunos sitios que no revocan tokens de OAuth en los cambios de contraseña, una solución para evitar futuros accesos no autorizados (fuera del flujo legítimo de OAuth) sería cambiar su contraseña. Como el token de OAuth aún sería válido, la funcionalidad legítima de la aplicación aún debería funcionar, pero los intentos de iniciar sesión con la contraseña recuperada ya no tendrán éxito. Por supuesto, esto no es a prueba de balas, ya que una aplicación verdaderamente maliciosa probablemente tenga un bot ejecutándose en sus servidores que cambia el correo electrónico y la contraseña de su cuenta en el momento en que la ingresa, lo que le impide acceder a su cuenta.

A largo plazo, la solución sería presionar a los desarrolladores de sistemas operativos móviles para que detengan las tonterías descritas en mi primer enlace o al menos proporcionen una alternativa de WebView segura y controlada por el sistema operativo que las aplicaciones puedan usar para solicitar credenciales. El hecho de que WebView le demuestre al usuario que realmente está controlado por el sistema operativo (haciendo algo que las aplicaciones normales no pueden, como interceptar al presionar un botón de inicio) y muestra claramente la URL solicitada por la aplicación, por lo que no puede intentar mostrar un sitio de phishing.

    
respondido por el André Borie 24.01.2016 - 15:05
fuente
6

Esto me acaba de pasar. Lo que hice no es confiar en ello y seguir estos pasos:

  1. Verifique los dispositivos conectados en mi Facebook y que reciba notificaciones para nuevos dispositivos.
  2. Cambie mi contraseña de Facebook a algo aleatorio que me haya dado mi administrador de contraseñas.
  3. Escriba esa contraseña en la vista de la aplicación
  4. Cambie mi contraseña de Facebook otra vez. NO salga de todos los dispositivos cuando se le solicite.
  5. Revisar todo está en orden.

De esa manera, estoy seguro de que soy el único que se conectó en ese momento y que nadie tiene una contraseña de Facebook válida.

Sin embargo, es un PITA ya que la misma aplicación podría pedirme que confirme la identidad en el futuro y hacer estos pasos cada vez es realmente inconveniente .

    
respondido por el Francisco Presencia 06.11.2016 - 11:32
fuente

Lea otras preguntas en las etiquetas

Meltdown y máquinas virtuales ¿Cuál es la diferencia entre los generadores Diffie Hellman 2 y 5?