Svakhet i OAuth kan utnyttes for å få tilgang til en millard Android app-kontoer.
Svakhet i OAuth kan utnyttes for å få tilgang til en millard Android app-kontoer
| Forskere fra Hong Kong har demonstert et angrep som kan utføres mot en stor del av applikasjoner på Android-platformen. Angrepet utnytter en svakhet i hvordan flere applikasjoner håndterer OAuth-authentisering. Utviklere glemmer å sjekke at signaturen som de får fra Facebook, Google og andre eksterne kilder faktisk stemmer med brukernavnet. Denne svakheten kan derfor utnyttes til å få tak i informasjon om brukeren fra applikasjonen som inneholder svakheten. Forskerene testet 600 av de mest populære applikasjonene fra USA og Kina. Av disse var det 182 applikasjoner som støttet "single sign-on", der 41% av disse hadde svakheten nevnt over. Forskerne opplyser at svakheten også vil kunne utnyttes på samme måte på iOS, men at de ikke har testet mot denne plattformen. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
http://www.forbes.com/sites/thomasbrewster/20[...] |