Hallan una forma sencilla de secuestrar millones de cuentas de apps móviles
Investigadores en seguridad de la Universidad de Hong Kong han descubierto una forma de acceder con credenciales a aplicaciones para móviles Android sin que la víctima se de cuenta del ataque.
El grupo de investigadores ha encontrado que muchas de las aplicaciones móviles más populares que soportan inicio de sesión único tienen una implementación insegura de OAuth 2.0, que es un protocolo y estándar abierto utilizado para autorizaciones que permiten a los usuarios acceder a servicios de terceros a través de la verificación de una identidad existente en Google o Facebook. Este proceso permite a los usuarios acceder a servicios sin tener que dar información adicional como nombres de usuario y contraseñas.
Cómo funciona OAuth para las aplicaciones de terceros
OAuth comprueba el ID del desarrollador cuando el usuario intenta conectarse a través de un servicio de terceros, asegurándose de que los datos sean correctos. Si la validación se realiza correctamente, OAuth tendrá un token de acceso de Facebook (aunque también puede ser de Google, Twitter y otros muchos) que será emitido al servidor de la aplicación móvil. Una vez se ha emitido el token, el servidor de la aplicación pide a Facebook la información de autenticación del usuario, verificándola para luego permitir al usuario acceder con sus credenciales de Facebook.
Qué están haciendo erróneamente los desarrolladores
Los investigadores han descubierto que muchos desarrolladores de aplicaciones Android no comprueban correctamente la validez de la información enviada por el proveedor de ID (Facebook, Google, Sina… ). En vez de verificar el token de acceso de OAuth adjuntando a la información de autenticación del usuario para validar si este y el proveedor del ID están vinculados, el servidor de la aplicación solo comprueba el ID del usuario recuperado del proveedor de ID.
Debido a este error, los hackers pueden descargar la aplicación vulnerable, acceder a esta con su propia información y luego cambiar esos credenciales por los de una víctima individual a través de la configuración de un servidor para modificar los datos enviados por Facebook, Google o cualquier proveedor de ID.
Una vez realizado esto, los hackers tendrían que tener control total sobre los datos de la aplicación. Esto quiere decir que los atacantes tendrían acceso total a los datos del usuario en una aplicación, pudiendo saber quiénes son sus contactos en las redes sociales, sus viajes en caso de usar una app para viajar e incluso robar datos de aplicaciones móviles.
Uno de los investigadores tras este descubrimiento comenta que “el protocolo OAuth es muy complicado”. La mayoría de las veces los desarrolladores utilizan las “recomendaciones de Facebook y Google, pero si no lo hacen correctamente, sus aplicaciones estarán muy abiertas”.
Los investigadores han descubierto que las aplicaciones afectadas por este problema con el soporte de inicio de sesión único han sido descargas unas 2.400 millones de veces. Esto significa que miles de millones de cuentas de aplicaciones móviles corren el riesgo de acabar secuestradas.
De momento no se ha probado este ataque con aplicaciones de iOS, sin embargo, los investigadores no descartan que este fallo en la implementación de OAuth esté afectando también a aplicaciones compatibles con el sistema operativo móvil de Apple.
Fuente: Sectorx.com.ar
