Un bug del processo di autenticazione mette a rischio un miliardo di account in-app

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Un miliardo di account in-app potrebbero essere potenzialmente in pericolo: questa è la rivelazione presentata da un gruppo di ricercatori cinesi durante la Black Hat Europe Conference che si è tenuta nei giorni scorsi, basando la propria affermazione in seguito ad una serie di studi accurati eseguiti sul sistema di autenticazione negli account di centinaia di applicazioni Android attraverso i propri profili social.

Stando infatti al documento, per via di un bug nel sistema OAuth2.0 può capitare che l’applicazione esegua automaticamente l’accesso al profilo senza che i dati forniti coincidano con l’account utilizzato per l’autenticazione, esponendo dunque le informazioni personali di più di un miliardo di utenti che quotidianamente si servono di questo metodo ad attacchi man-in-the-middle.

Siete pronti per scoprire i dettagli di queste vulnerabilità?

Più di un miliardo di account esposti per colpa di produttori e servizi

La questione è seria, afferma uno dei ricercatori della Chinese University of Hong Kong (CUHK) salito sul palco della Black Hat Europe Conference svoltasi nei giorni scorsi: qualora infatti un hacker venisse a conoscenza dell’email utilizzata per attuare il login ad un social network associato a sua volta al profilo utente di un’applicazione, potrebbe essere in grado di attuare un attacco man-in-the-middle per accedere all’app pur facendo uso di credenziali non attendibili, che però a causa di un bug nel sistema OAuth 2.0 non vengono controllate.

bug-oauth-2-facebook-3
Come funziona il processo di autenticazione su Slack

Normalmente infatti, durante il processo di accesso ad un account collegato ad un social network (Facebook, per esempio), l’applicazione in questione provvede ad inviare una richiesta di verifica dell’identità: se gli ID forniti corrispondono, il social network crea un token di accesso che, una volta elaborato dall’app, consente l’autenticazione senza che sia necessario inserire password o ulteriori credenziali.

Il problema nasce proprio dal sistema che gestisce tale processo, denominato OAuth2.0: tale protocollo, su 600 applicazioni analizzate dai ricercatori nelle versioni cinesi e statunitense del Google Play, è stato trovato in 182 app che se ne servono per mettere a disposizione degli utenti un metodo alternativo e veloce di accesso ai propri servizi; sfortunatamente è stato riscontrato un comportamento anomalo che spinge le app ad attribuire l’identità del profilo in accesso senza che siano state presentate le credenziali corrette.

bug-oauth-2-facebook-2
L’autenticazione tramite social network potrebbe non essere più sicura a causa del bug di OAuth

La spiegazione è molto semplice: dato che il sistema OAuth era nato inizialmente come processo di autenticazione nei siti web, è stato malamente integrato nelle applicazioni lasciando spazio a numerosi bug, uno dei quali induce il social network a fornire il token d’accesso senza alcun controllo preventivo. Così facendo un hacker potrebbe utilizzare un sistema di attacco man-in-the-middle subentrando al profilo dell’utente in fase di autenticazione e registrandosi al posto del profilo originario, mantenendone però l’accesso a dati e impostazioni. I ricercatori hanno dimostrato tale passaggio sfruttando l’app Imdb, ma potrebbe trattarsi di un evento più spiacevole qualora dovesse accadere con l’app del proprio profilo bancario, o peggio.

La colpa, afferma Yang Rongha (autore principale della scoperta), è sia degli sviluppatori sia dei social network e dei provider dei servizi, che non forniscono la corretta documentazione per l’implementazione del sistema OAuth – stando alle sue parole, quella messa a disposizione di Google sarebbe addirittura confusionaria – che porta i developers a compiere errori di tal genere. I ricercatori hanno già inviato il materiale alle principali case di produzione e sviluppo oltre che a Google, augurandosi che possano risolvere il bug al più presto.

Vuoi vincere una batteria esterna da 20.000mAh? Scopri QUI il nostro giveaway di Halloween e vinci con noi!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//