BIO LENGKAP
Setidaknya 1 miliar aplikasi Android rentan terhadap hack sederhana yang dapat dilakukan dari mana saja di planet ini, peneliti mengklaim. Fotografer: Tony Avelar / Bloomberg peneliti berbasis di Hong Kong telah menunjukkan serangan pada sejumlah besar aplikasi Android, yang memungkinkan mereka mengakses remote untuk apa pun yang terletak dalam Akun. Aplikasi telah diunduh lebih dari 1 miliar kali, kata mereka, membuat dampak penyakit Android meluas dan parah.
Trio peneliti - Ronghai Yang, Wing Cheong Lau dan Tianyu Liu dari Chinese University of Hong Kong - melihat 600 yang paling populer adalah Aplikasi Android buatan dari Amerika Serikat dan Cina. Untuk 41 persen dari 182 yang didukung single sign-on, mereka menemukan masalah yang terkait dengan OAuth 2.0 - standar yang memungkinkan pengguna untuk menguasai Akun facebook atau Google, Dengan cara mereka memverifikasikan login mereka ke aplikasi atau Website pihak ketiga yang berbeda.
Itu berarti pengguna tidak harus memberikan username tambahan atau password.
 |
| Android Apps Make by Hacker |
Tetapi para peneliti menemukan bahwa, kritis, untuk massa aplikasi Android, pengembang tidak benar memeriksa validitas informasi yang dikirim dari ID penyedia. Misalnya, mereka gagal untuk memeriksa tanda tangan melekat pada informasi otentikasi diambil dari Facebook dan Google. Dalam kasus lain, server aplikasi hanya akan melihat ID pengguna kembali dan login individu dalam tanpa memeriksa informasi OAuth terlampir untuk melihat apakah mereka terkait.
Untuk alasan ini, mungkin bagi hacker remote untuk men-download aplikasi rentan, login dengan informasi mereka sendiri dan kemudian beralih pada nama pengguna dari individu sasaran, menggunakan server bentukan untuk mengutak-atik data yang dikirim dari Facebook, Google atau penyedia ID lainnya. UserName Mereka bisa ditebak mudah atau diambil dengan beberapa Googling sederhana. Itu akan mengabulkan snoop kontrol total dari data yang dimiliki dalam aplikasi.
(Informasi lebih lanjut tentang bagaimana para peneliti dilewati perlindungan tambahan yang diimplementasikan oleh Facebook dan diuraikan dalam makalah yang akan dirilis besok).
Karena mereka akan mencatatnya di kertas, yang dirilis minggu ini untuk mengantisipasi para peneliti 'Black Hat Eropa Speaking' pada hari Jumat, kekurangan dapat dieksploitasi dari jarak jauh oleh penyerang untuk masuk ke akun aplikasi seluler korban tanpa korban sadari. Sebelumnya, serangan diperlukan beberapa interaksi dari pengguna, kata para peneliti.
"Masalahnya adalah kesalahan cukup mendasar," kata Lau. Dampaknya, kata dia, bisa menjadi parah. Misalnya, jika hacker masuk ke aplikasi perjalanan, mereka bisa mempelajari jadwal penuh individu. Untuk aplikasi pemesanan hotel, mereka bisa memesan kamar dan memiliki membayar korban untuk itu.
Atau mereka hanya bisa mencuri data pribadi, seperti alamat atau rincian bank.
Jumlah total download untuk daftar peneliti dari aplikasi rentan melebihi 2,4 miliar. Mengingat sekitar setengah dari pengguna memilih untuk login berbasis OAuth, perkiraan konservatif mereka adalah bahwa lebih dari satu miliar akun aplikasi mobile berbeda yang beresiko terkena Hacker dengan teknik baru ini.
Mereka tidak mengungkapkan nama-nama aplikasi terpengaruh.
Sementara para peneliti tidak menguji eksploitasi mereka di iPhone Apple, mereka mengklaim serangan itu "platform-agnostic" dan akan bekerja pada setiap aplikasi yang rentan duduk di iOS.
Lau mengatakan Facebook, Google dan penyedia ID lainnya harus memberikan pedoman yang lebih jelas untuk pengembang aplikasi. "Protokol OAuth cukup rumit," katanya. "Banyak pengembang pihak ketiga yang Store Si A dan Si B, mereka tidak memiliki kemampuan. Sebagian besar waktu yang mereka gunakan adalah dari rekomendasi Google dan Facebook, tetapi jika mereka tidak melakukannya dengan benar, aplikasi mereka akan terbuka lebar.
