威胁情报

英文标题 Over 1 Billion Mobile App Accounts can be Hijacked Remotely with this Simple Hack
中文标题 OAuth2.0部署不当,数十亿Android App账户存泄露风险
作者及单位 Swati Khandelwal;Thehackernews
内容概述 近日,研究人员发现,众多支持单点登录的App没有正确部署OAuth2.0认证协议,攻击者可利用此漏洞远程登陆任何用户的App账户。
研究人员发现,许多AndroidApp的开发者并没有正确地核对ID提供方发来的信息的有效性。这些第三方App并没有验证访问token,以核查用户与ID提供方是否关联,第三方App服务器只检查了这个信息是否由一个有效的ID提供方发出。这种部署给了攻击者可乘之机,他们可以下载存在此漏洞的App,使用自己的信息登录,通过建立服务器,修改ID提供方发送的数据,将自己的用户名改为目标对象的用户名。攻击者可以利用这种方法,泄露用户敏感信息,或者以用户名义在相应App上操作。
研究人员发现有OAuth部署问题的各类App总共有24亿的下载量,专家估计将有10亿不同的手机App账户可能被劫持。
新闻链接 http://thehackernews.com/2016/11/android-oauth-hacking.html

浏览次数:

关 闭
按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务