乌云:你的各种“账号”最近可能被轻松黑掉

如果今天有人跟你说他能黑掉你的各种网站、手机APP账号,甚至还包括网络名人的账户,随意查看里面的小秘密… 那也许不是愚人节的玩笑,极有可能是真的!

问题来自前两天的中午,新浪发来一封漏洞预警邮件,印象中这很少有国内企业会主动发漏洞的预警,邮件原文如下:

2016040201

看了下是个因OAuth认证协议导致的安全风险,因企业验证不当,黑客就可利用这个漏洞登录任意用户的账号(通过OAuth认证的用户),所以如此严重的预警发出后,一些大牌互联网企业还是一如既往的……没当回事儿(囧

啥样的APP或网站支持OAuth认证?拿出你的手机,随便找几个APP,会看到其支持微博、微信等社交账户的登录,这个就是OAuth认证,如果你是这样登录的,那有很大几率会受到这个问题影响!

授权的过程

另外因为它无需用户输入账号密码,而且又免去了重复的账号注册过程,所以被互联网应用广泛采用,深的用户喜爱(懒呗)。

这个“漏洞”的原理也很简单,在OAuth认证通过后,提供认证服务的企业(如新浪微博)会给网站/APP反馈一些用户认证信息,比如用户ID、头像、名称、有效时间以及其他accesstoken等数据。但使用OAuth的APP或网站并没有验证用户ID与accesstoken的合法关联,完全信任了返回数据。这时黑客拦截返回请求,将用户ID改为其他任意用户即可成功登录,这个ID就可以去比如新浪微博找些名人、大V的进行精准性的劫持登录。

……

好吧,在简单点。老王拿着他的房产证、身份证找开锁公司证明,开锁公司验了老王的身份与门牌号属实,就开证明给开锁师傅干活。但中间老王给工单中的房间号改成了你家的,开锁师傅没注意这么明显的修改痕迹,二话不说给你家门翘开了,老王成功进屋,你说这个锅谁来背一下?

目前乌云君已经收到了该问题的多个漏洞报告:
知乎客户端登录任意用户账号(劫持某互联网名人账户)
我是如何未授权登录他人搜狐账户的
我是如何未授权登录他人乐视app账号的
我是如何未授权登陆他人蘑菇街账号的
我是如何未授权登陆他人当当账号的
我是如何未授权登陆他人今日头条账号的

该问题影响面会比较广泛,所以在这里也帮新浪以及其他提供OAuth服务的机构一起给行业再次预警,认证过程一定要检验uid与accesstoken的关联性,否则用户体系将发生难以预料的混乱,对用户账号内敏感信息造成影响。

来源:乌云漏洞报告平台

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址