スマホ関連の海外ニュースです。
香港の中国大学から 3 名が研究の努力のため場合は、我々 は決して Google の Android プラットフォームでこの脆弱性を考え出したがあるでしょう。これらの研究者は、米国と中国の app store で複数の Google アプリをスキャンし、重大な抜け穴を発見します。この脆弱性は、これらのアプリで OAuth 2.0 の実装方法に存在します。OAuth 2.0 私たちについて説明しますと、それは何が知っておくべき 1 つの事は、ハッカーがリモートで悪用する被害者のアプリ彼または彼女の個人情報へのアクセスおよびできます。 知らない人のため OAuth 2.0 は、ユーザーが Google や Facebook のアカウントを使用してサードパーティ製アプリケーションにログインを確認できる標準です。あなたはおそらくそれらの迷惑なポップアップは、画面に表示されるとこれが認識されます、2 番目の考えを与えることがなくそれらをクリックしたクリックし、ない注意いただきますように見えます。 OAuth を使用して任意のサービスへのログイン、アプリは Google や FaceBook など、ID プロバイダーの完全なチェックを実行します。これらの資格情報が同じ場合、OAuth アクセス トークン プロバイダーから取得 ID。これは、アプリを自分の Facebook や Google の資格情報を使用してログインするユーザーを許可することができます。残念ながら、このアプローチを使用して Android アプリのエコシステムの深刻な脅威につながることができます。開発者は、ID プロバイダーによって送信される情報の妥当性を確認しないと障害が実際にあります。 フォーブスは、グーグルやフェイス ブックから取得した認証情報に添付された署名を確認する失敗する別のミスが起こったことを報告しています。多くの場合、アプリケーション サーバーが唯一の ID プロバイダーから取得したユーザー ID のチェック。調査によると 24 億ダウンロードの合計が実際にこの問題の影響を受けるので大規模なは間違いなく控えめ。研究は、iOS はアンドロイドと比較してより安全なセキュリティ研究者が知っているので、Iphone、実施されていません。 ただし、これらのセキュリティ研究者がすれば私たち巨大な好意も Apple の iPhone の徹底的な演習を実施することができました。
続きを読む…
Millions of Android app accounts can easily be hacked by a very simple trick
If it wasn’t for the efforts of three researchers from the Chinese University of Hong Kong, we would have never figured out this vulnerability in Google’s Android platform. These researchers scanned multiple Google apps on the US and Chinese app store and found a serious loophole. This flaw resides in the way OAuth 2.0 is implemented in these apps. We’ll be explaining OAuth 2.0 and what is it, but the one thing you need to know is that a hacker can remotely exploit a victim’s app and access his or her personal information. For those that do not know, OAuth 2.
Read more…
