Más de mil millones de cuentas de aplicaciones móviles podrían ser secuestradas

Share this…

Esta semana unos investigadores de seguridad han descubierto que algo tan habitual como acceder a un buen número de aplicaciones móviles Android o iOS, podría permitir el inicio de sesión remotapor parte de terceros en estas si que la víctima tenga conocimiento de ello.

Se trata de los investigadores Ronghai Yang, Wing Cheong Lau y Tianyu Liu, de la Universidad de Hong Kong, y han detectado que la mayoría de las aplicaciones móviles más populares que apoyan el servicio de inicio de sesión único o single sign-on (SSO), utilizan el protocolo conocido como OAuth 2.0. Este es un estándar que permite a los usuarios acceder a servicios de terceros que requieran la verificación de identidad ya existente en sus cuentas de Google o Facebook, entre otras. Esto permite iniciar sesión en otros servicios sin proporcionar nombres de usuario o contraseñas adicionales.

Cuando iniciamos sesión en una aplicación de terceros a través de OAuth, esta app comprueba con el proveedor de ID, por ejemplo, Facebook, que los datos de autenticación son correctos, tras lo cual OAuth obtiene un “token de acceso” de Facebook que se emite al servidor de esa aplicación móvil a la que intentamos acceder.

Una vez que se ha emitido el “token de acceso”, el servidor de aplicaciones solicita la verificación de autenticación al usuario de Facebook y le permite iniciar sesión con sus credenciales de la red social en este caso. El problema viene debido a que los investigadores se han dado cuenta de que los desarrolladores de un gran número de aplicaciones para móviles no comprueban de manera adecuada la validez de la información enviada por el proveedor de ID, como los mencionados Facebook o Google. Por ello, en lugar de verificar estos datos de Oauth, adjunta la información de autenticación tan solo para comprobar que el usuario y el proveedor de ID están correctamente enlazados para iniciar sesión en la app de terceros.

Inicio de sesion en google

Debido a este error, los hackers podrían descargar remotamente la app vulnerable, iniciar sesión con su propia ID y luego cambiar el nombre de usuario por el de la persona que quieren atacar y modificar los datos enviados desde Facebook, Google u otros proveedores de ID. Evidentemente, una vez hecho esto, tendrían el control total de los datos personales contenidos en la aplicación.

De ser así, los hackers podrían suplantar nuestra identidad en diversas aplicaciones a la hora de reservar viajes, habitaciones de hotel o simplemente robar los datos personales de la víctima como dirección física o datos bancarios. Parece ser que el protocolo OAuth es bastante complicado, por lo que muchos de los desarrolladores de terceros que lo usan no tienen los conocimientos necesarios para hacerlo correctamente y usan las ID de plataformas como Google o Facebook de modo incorrecto, por lo que sus sus aplicaciones quedan abiertas y son vulnerables. En concreto estos investigadores han encontrado cientos de aplicaciones populares que soportan el servicio SSO con más de 2 mil millones de descargas y que son vulnerables al problema.

Además teniendo en cuenta el número de usuarios que optan por los inicios de sesión basados en OAuth, los investigadores estiman que más de mil millones de cuentas para aplicaciones móviles corren el riesgo de ser secuestradas en un ataque.

Fuente:https://www.adslzone.net