[Black Hat Europe 2016] Phát hiện kỹ thuật có thể tấn công hơn 1 tỉ tài khoản ứng dụng di động

Tại Black Hat Europe 2016, các nhà nghiên cứu an ninh đã trình bày cách nhắm mục tiêu vào một lượng lớn ứng dụng Android và iOS, cho phép họ đăng nhập từ xa vào tài khoản ứng dụng di động của nạn nhân bất kỳ mà không cần biết điều gì về nạn nhân.

Nhóm ba nhà nghiên cứu - Ronghai Yang, Wing Cheong Lau và Tianyu Liu - từ Đại học Trung Quốc của Hồng Kông phát hiện rằng hầu hết các ứng dụng di động phổ biến có hỗ trợ dịch vụ xác thực một lần (SSO) đều không thực thi an toàn phương thức OAuth 2.0.

OAuth 2.0 là một tiêu chuẩn xác thực mở cho phép người dùng đăng nhập vào dịch vụ của bên thứ ba khác bằng cách xác thực danh tính hiện có qua tài khoản Google, Facebook, hoặc tài khoản Sina của Trung Quốc.



Quá trình này cho phép người dùng đăng nhập vào bất kỳ dịch vụ mà không cần cung cấp tên người dùng hoặc mật khẩu.

Các nhà phát triển ứng dụng phải thực thi Oauth như thế nào?

Khi người dùng đăng nhập vào một ứng dụng của bên thứ ba thông qua OAuth, ứng dụng kiểm tra với nhà cung cấp ID, như Facebook, rằng nó có chi tiết xác thực chính xác. Nếu có, OAuth sẽ có một 'Access Token' (Token truy cập) từ Facebook được phát hành cho máy chủ của ứng dụng di động đó.

Sau khi token truy cập được phát hành, máy chủ ứng dụng yêu cầu thông tin xác thực người dùng từ Facebook, thẩm tra và sau đó cho phép người dùng đăng nhập bằng tài khoản Facebook.

Các nhà phát triển ứng dụng thực sự thực thi Oauth như thế nào?

Các nhà nghiên cứu phát hiện rằng các nhà phát triển của một lượng lớn ứng dụng Android không kiểm tra đúng tính hợp lệ của thông tin được gửi từ nhà cung cấp ID, như Facebook, Google hoặc Sina.

Thay vì xác minh thông tin OAuth (Access Token) kèm theo thông tin xác thực người sử dụng để xác nhận nếu người dùng và nhà cung cấp ID được liên kết, máy chủ ứng dụng chỉ kiểm tra ID người dùng lấy ra từ nhà cung cấp ID.

Do sai lầm này, tin tặc từ xa có thể tải về ứng dụng có lỗ hổng, đăng nhập với thông tin của chính mình và sau đó đổi thành tên người dùng của cá nhân mà họ muốn nhắm mục tiêu (tin tặc có thể đoán hoặc Google) bằng cách thiết lập một máy chủ để sửa đổi dữ liệu được gửi từ Facebook, Google hoặc các nhà cung cấp ID khác.

Điều này cho phép kẻ xấu kiểm soát toàn bộ dữ liệu chứa trong ứng dụng.

Mức ảnh hưởng? Nếu tin tặc đột nhập vào ứng dụng du lịch của nạn nhân, họ có thể biết được lịch trình; nếu đột nhập vào ứng dụng đặt phòng khách sạn, họ có thể đặt phòng cho mình và nạn nhân phải thanh toán; hoặc đơn giản là đánh cắp dữ liệu cá nhân của nạn nhân, chẳng hạn như địa chỉ nhà ở hoặc thông tin ngân hàng.

Các nhà nghiên cứu tìm thấy hàng trăm ứng dụng Android phổ biến của Mỹ và Trung Quốc có hỗ trợ dịch vụ SSO với tổng số lượt tải về là hơn 2,4 tỷ có nguy cơ tồn tại vấn đề này.

Xem xét số lượng người dùng lựa chọn đăng nhập dựa trên OAuth, các nhà nghiên cứu ước tính hơn một tỷ tài khoản ứng dụng di động khác nhau có nguy cơ bị tấn công bằng phát hiện của họ.

Các nhà nghiên cứu không kiểm tra khai thác của mình trên iPhone, nhưng tin rằng cuộc tấn công hoạt động trên bất kỳ ứng dụng tồn tại lỗ hổng trong hệ điều hành di động iOS của Apple.

Theo The Hacker News​