4月1日消息,今天,烏云漏洞報告平臺發文提醒,由于受到OAuth認證協議漏洞影響,大多數網友的網絡賬戶很可能被黑客輕松黑掉。烏云漏洞平臺介紹稱,因為OAuth認證協議導致的安全風險,因企業的錯誤使用,可導致黑客利用這個漏洞登錄該任意用戶的賬號(OAuth登錄的用戶)。也就是說,在相關企業沒有做出防范之前,你的各種網站、手機APP賬號,甚至還包括網絡名人的賬戶,都可能遭到黑客窺探。
下面是來自烏云漏洞報告平臺的提醒:
問題來自前兩天的中午,新浪發來一封漏洞預警郵件,印象中這好像是第一次企業發出如此緊急的預警,郵件原文如下:
字數越少影響越大!
看了下是因為OAuth認證協議導致的安全風險,因企業的錯誤使用,可導致黑客利用這個漏洞登錄該任意用戶的賬號(OAuth登錄的用戶),所以如此緊急的預警發出后,一些大牌互聯網企業果然……沒當回事兒!
我的賬號是OAuth認證的么?拿出你的手機,隨便找幾個APP進行登錄,會看到其支持微博、微信等賬戶的直接登錄,這個就是支持OAuth認證,可能會受到這個問題影響。因為它無需用戶輸入賬號密碼,而且又免去了重復的賬號注冊,所以被互聯網應用廣泛采用。
比如知乎
點評
授權過程
漏洞原理很簡單,你進行OAuth認證時,提供認證服務的企業(如新浪微博)會反饋一些認證信息,比如用戶ID、頭像、名稱、有效時間以及其他認證token的數據。但使用OAuth的APP或網站并沒有驗證用戶ID與accesstoken的合法關系,完全信任返回數據。這時黑客攔截返回請求,將用戶ID改為其他任意用戶即可成功登錄,這個ID就可以去比如新浪微博找些名人、大V的進行精準性的劫持登錄。
目前烏云君已經陸續接到了相關的漏洞報告:
知乎客戶端登錄任意用戶賬號(劫持某互聯網名人賬戶)
我是如何未授權登錄他人搜狐賬戶的
我是如何未授權登錄他人樂視app賬號的
...
該問題影響面會非常廣泛,所以在這里也幫新浪以及其他OAuth服務提供商一起給行業再次進行預警,認證過程中一定要檢驗uid與accesstoken的一致性,否則用戶體系將發生難以預料的混亂,對用戶賬號內敏感信息造成影響。
PS:大家可以進行主動發現一些存在問題的網站或APP,但請及時通知企業修復漏洞。
京公網安備 11010502049343號