示意图,与新闻事件无关。
3名来自香港中文大学的安全研究人员于上周揭露,基于令牌的授权开放标準OAuth 2.0含有一执行瑕疵,若再加上开发人员未留意程式与该标準的安全互动,将允许骇客挟持使用者帐号。在所测试的600款行动程式中,约有41.2%拥有该漏洞,殃及10亿个用户帐号。
迄今已有许多主流身分供应商採用OAuth 2.0以提供单一登入(Single-Sign-On,SSO)服务,包括Google、Facebook与新浪网等,同时也有大量的行动程式支援SSO。
此一研究报告名为「轻鬆登入10亿个基于OAuth 2.0的行动程式帐号」(Signing into One Billion Mobile App Account Effortlessly with OAuth2.0),研究人员打造了一个攻击程式,检查了中国及美国市场最受欢迎的600款行动程式,这些程式都支援基于OAuth 2.0的SSO,发现其中的42.1%允许远端骇客在使用者完全不需与之互动也未察觉的情况下远端登入使用者的行动程式,危及10亿个帐号。
研究人员指出,一来OAuth2.0已被行动程式的系统设定及操作环境所覆盖,二来OAuth2.0并未定义基于SSO程序时行动程式与后端伺服器互动时所需的安全要求,再加上身分供应商所打造的各种以OAuth2.0为基础的客製化API缺乏使用上的安全準则,而出现了安全缺口。
骇客将能透过中间人攻击登入使用者的帐号,有许多受欢迎的约会程式、旅游程式、购物程式、订房程式、金融程式、聊天程式与新闻程式都可被攻陷,当骇客掌控了使用者帐号之后,即可存取储存于程式后端伺服器的使用者机密资讯,甚至利用使用者的帐号打电话或购物等。
根据研究人员的说法,该漏洞的根本原因其实很常见,就只是后端伺服器误信了来自行动程式的不当凭证资讯罢了。
I 相关 / Other
示意图,与新闻事件无关。 Google本周释出了11月的Android安全更新,总计修补83个漏洞,其中有23个被列为重大(Critical)等级漏洞,包含了攸关Linux Kernel的Dirty Cow安全漏洞。资安人员在今年10月下旬揭露Linux
卖使用者个资给第三方,Web Of Trust扩充程式遭Mozilla自程式商店移除
图片来源: WOT Mozilla近日将Web Of Trust(WoT)自浏览器扩充程式商店移除了,原因是WoT将可用来辨识使用者身分的资讯与浏览纪录出售给第三方。WoT则自愿自其他平台下架,亦正着手打造新版本。WoT为一提供安全浏览功
图片来源: Microsoft 微软在周二(11/8)的每月例行性更新释出了14项安全公告,其中有6项属于可远端执行程式的重大(Critical)等级,另也修补了由Google所揭露的零时差安全漏洞。此次的安全更新涉及多项微软产品,涵
台湾大哥大旗下myVideo服务上线至今累计近200万次App下载数、为乘胜追击,myVideo祭出周年庆3重好礼,力拼用户持续成长。台湾大哥大myVideo推出以来持续与国內外片商合作,提供多样化的高品质视频,缔造许多成果。包
新款Macbook Pro因全面採用USB-C引发用户的抱怨。 图片来源: Apple 苹果于今年10月底发表了更新版的MacBook Pro,因全面採用USB-C规格的传输埠而惹来用户抱怨,为此,苹果宣布至今年底前,将调降各种USB-C配件价格