¿Cuál es el impacto de la falla de OAuth 2 en mi cuenta social y en mis dispositivos conectados?

Question

¿Cuál es el impacto de la falla de OAuth 2 en mi cuenta social y en mis dispositivos conectados?

#1 de LvB (2 votos)

1

Según forbes , el uso del inicio de sesión único a través de la cuenta social para iniciar sesión en algunas aplicaciones puede permitir que un atacante secuestre la cuenta del usuario

las fallas pueden ser explotadas de forma remota por un atacante para iniciar sesión en la cuenta de aplicación móvil de la víctima sin ningún conocimiento de la víctima.

Los investigadores dijeron que más de 2.4 Billones de descargas son vulnerables a este problema.

¿Cuál es el impacto de la falla OAuth 2 en mi cuenta social y en mis dispositivos conectados?

oauth2

pregunta GAD3R 11.11.2016 - 14:00

fuente

1 respuesta

Lea otras preguntas en las etiquetas oauth2

¿Impactos si reúno muchos documentos en una firma? No se puede usar el método PUT en el servidor aparentemente permitiendo PUT [cerrado]

score 2 · Accepted Answer

Este es un hecho que no es un defecto en OAuth 2, pero en la confianza implícita que algunos desarrolladores han puesto en los datos proporcionados por un proveedor de identidad (IDp).

El ataque mencionado en la investigación original se basa en la manipulación de los datos de tránsito entre 2 aplicaciones en su dispositivo o entre un cliente y un servidor (ya sea el proveedor de Oauth o un servicio de terceros).

Se reduce a no reconocer que simplemente no puede confiar en un dispositivo de usuario final (o cualquier dispositivo fuera de su control), por lo que los desarrolladores de aplicaciones deben tratar los datos como "malos" (como deben tratarse todas las aportaciones de los usuarios ) y supongamos que será manipulado.

el ataque aprovecha este error al proporcionar un token de acceso correcto pero detalles de usuario incorrectos (como usar mi propio token de acceso y su dirección de correo electrónico) que viajarán al servidor de terceros y se usarán como medio para identificarme (Por lo tanto, de hecho, seré identificado como usted, ya que su correo electrónico fue suministrado). Para poder hacer esto, todo lo que necesito es su dirección de correo electrónico (fácil de obtener). Estos servidores deberían haber sido programados de una manera diferente. a saber, deben recuperar su propio estado de los detalles del usuario utilizando el token de acceso recuperado por la aplicación. y validar que estos son los mismos que se proporcionan.

Ahora, ¿cómo se traduce todo esto a su pregunta de impacto en sus dispositivos? Me temo que el titular es y casi seguro que siempre será "no sabemos", ya que el flujo es una mala interpretación del uso y los riesgos de los protocolos. Dado que hay muchas aplicaciones, simplemente no podemos probarlas todas si es vulnerable por este abuso. Dado que el exploit no requiere nada de la víctima, sino datos "públicos", podría estar en riesgo sin utilizar los inicios de sesión de auth 2. Esto es algo que los desarrolladores de estas aplicaciones y servicios necesitan arreglar. y todo lo que podemos hacer es pedirles que demuestren que no son vulnerables (es decir, pedirles que hagan un examen de prueba)