Vitória Spectre Laptop com HP e The Register
O único clique conta de login do Google para aplicativos Android é um pouco conveniente para hackers, de acordo com o Tripwire Craig Young, que demonstrou uma falha no método de autenticação.
O mecanismo é chamado de "weblogin", e, basicamente, permite que os usuários usem suas credenciais da conta do Google, como a autenticação de aplicativos de terceiros, sem partilhar o nome de usuário e senha em si: um token é gerado para representar dados de login do usuário.
Jovem alegou o token exclusivo usado pelo sistema weblogin do Google pode ser colhida por um aplicativo não autorizado e usado para acessar todos os serviços de gigantes da publicidade como esse usuário.
Para demonstrar a falha na Def Con 21 conferência de hacking deste mês em Las Vegas, Young criou um aplicativo para Android que pede acesso à conta Google do usuário para exibir ações do Google Finance.
Assumindo que o concede permissão do usuário do aplicativo, ele emite um sinal para acessar os dados solicitados. O aplicativo envia desonestos que token de volta para o hacker, que pode colá-lo em uma sessão de web para acessar todos os serviços do Google do usuário, disse Young.
Isso inclui acesso irrestrito ao Gmail, Google Drive, Google Calendar e assim por diante, mesmo que a autorização só foi dada por um aplicativo Android para acessar o Google Finance, somos informados.
Os usuários não tem que dar várias permissões para o primeiro app: para acessar as contas locais, para acessar a rede, e para lançar uma sessão web acessando finance.google.com - o último bit ser quando o token web-utilizável é emitido. Mas se o usuário está esperando a integração com o Google Finance, então nada disso seria surpresa para eles.
Entregar as chaves aos seus arquivos do Google Drive seria, no entanto.
Uma vez que o meliante tem um token válido, então eles poderiam ver histórico de pesquisas da sua marca, entre outras coisas. Jovens pontos que deve ser a nossa vítima acontecer de ser um administrador do Google, em seguida, o invasor poderá assumir o controle das contas administradas, alterar senhas, privilégios de modificação, etc
Mas eles vão ter que se mover rápido - varredura automática do Google pode não ter notado o comportamento do aplicativo (o seu aplicativo não autorizado somente foi retirado da loja de aplicativos do Google Play sequência de uma denúncia, apesar de ser claramente marcado como um teste de segurança), mas desde que foi informada sobre o vuln em fevereiro Fábrica de Chocolate tem vindo a trabalhar para fechar o buraco na segurança. (O o blog Mundo PC tem mais detalhes sobre a investigação do sujeito.)
A falha é típico do que acontece quando a simplicidade toma conta de segurança em ordem de prioridades dos desenvolvedores. É improvável que qualquer um, mas o mais dedicado spear-phishers que tirar proveito de uma falha como esta, mas a sua exposição nos lembra que estar ciente de que concedem as permissões - e mantém Google et al falhas de fixação que não deveria existir no primeiro lugar. ®
via Alimentar (Feed)
Nenhum comentário:
Postar um comentário