UCloud-201611-003: OAuth2.0 使用不当导致App账户可被远程劫持漏洞安全预警 | U刻
  • UCloud-201611-003: OAuth2.0 使用不当导致App账户可被远程劫持漏洞安全预警

    栏目:安全资讯

    oauth2

    尊敬的UCloud用户:

    支持单点登录的App如果没有正确部署OAuth2.0认证协议,可导致攻击者远程登陆任何用户的App账户。请您及时检查自身使用的OAuth2.0是否符合标准。

    漏洞详情

    2016欧洲黑帽大会上,香港中文大学的三位安全研究员发现了一个极其危险的安全隐患,超过10亿的移动APP(包括安卓版本和iOS版本)都可以在用户完全不知情的情况下被远程劫持,无需用户授权即可登录 Facebook 、谷歌、新浪微博账户等多种应用。研究员指出大部分流行的移动应用程序都支持单点登录(SSO)服务,即用户一次登录就可以访问所有相互信任的应用,但是应用的服务器只会检查这些ID是否和从ID供应商那里检索到的匹配,却不会验证OAuth 信息(用户认证信息)。远程攻击者可以使用自己账户登录成功后,将用户名修改为攻击目标用户名,从而控制攻击目标在该应用上的数据。

    修复方案

    增加OAuth信息与ID是否匹配的验证

    参考链接