4月1日消息,今天,烏云漏洞報(bào)告平臺(tái)發(fā)文提醒,由于受到OAuth認(rèn)證協(xié)議漏洞影響,大多數(shù)網(wǎng)友的網(wǎng)絡(luò)賬戶很可能被黑客輕松黑掉。烏云漏洞平臺(tái)介紹稱,因?yàn)镺Auth認(rèn)證協(xié)議導(dǎo)致的安全風(fēng)險(xiǎn),因企業(yè)的錯(cuò)誤使用,可導(dǎo)致黑客利用這個(gè)漏洞登錄該任意用戶的賬號(hào)(OAuth登錄的用戶)。也就是說,在相關(guān)企業(yè)沒有做出防范之前,你的各種網(wǎng)站、手機(jī)APP賬號(hào),甚至還包括網(wǎng)絡(luò)名人的賬戶,都可能遭到黑客窺探。
下面是來自烏云漏洞報(bào)告平臺(tái)的提醒:
問題來自前兩天的中午,新浪發(fā)來一封漏洞預(yù)警郵件,印象中這好像是第一次企業(yè)發(fā)出如此緊急的預(yù)警,郵件原文如下:
字?jǐn)?shù)越少影響越大!
看了下是因?yàn)镺Auth認(rèn)證協(xié)議導(dǎo)致的安全風(fēng)險(xiǎn),因企業(yè)的錯(cuò)誤使用,可導(dǎo)致黑客利用這個(gè)漏洞登錄該任意用戶的賬號(hào)(OAuth登錄的用戶),所以如此緊急的預(yù)警發(fā)出后,一些大牌互聯(lián)網(wǎng)企業(yè)果然……沒當(dāng)回事兒!
我的賬號(hào)是OAuth認(rèn)證的么?拿出你的手機(jī),隨便找?guī)讉€(gè)APP進(jìn)行登錄,會(huì)看到其支持微博、微信等賬戶的直接登錄,這個(gè)就是支持OAuth認(rèn)證,可能會(huì)受到這個(gè)問題影響。因?yàn)樗鼰o需用戶輸入賬號(hào)密碼,而且又免去了重復(fù)的賬號(hào)注冊(cè),所以被互聯(lián)網(wǎng)應(yīng)用廣泛采用。
比如知乎
點(diǎn)評(píng)
授權(quán)過程
漏洞原理很簡單,你進(jìn)行OAuth認(rèn)證時(shí),提供認(rèn)證服務(wù)的企業(yè)(如新浪微博)會(huì)反饋一些認(rèn)證信息,比如用戶ID、頭像、名稱、有效時(shí)間以及其他認(rèn)證token的數(shù)據(jù)。但使用OAuth的APP或網(wǎng)站并沒有驗(yàn)證用戶ID與accesstoken的合法關(guān)系,完全信任返回?cái)?shù)據(jù)。這時(shí)黑客攔截返回請(qǐng)求,將用戶ID改為其他任意用戶即可成功登錄,這個(gè)ID就可以去比如新浪微博找些名人、大V的進(jìn)行精準(zhǔn)性的劫持登錄。
目前烏云君已經(jīng)陸續(xù)接到了相關(guān)的漏洞報(bào)告:
知乎客戶端登錄任意用戶賬號(hào)(劫持某互聯(lián)網(wǎng)名人賬戶)
我是如何未授權(quán)登錄他人搜狐賬戶的
我是如何未授權(quán)登錄他人樂視app賬號(hào)的
...
該問題影響面會(huì)非常廣泛,所以在這里也幫新浪以及其他OAuth服務(wù)提供商一起給行業(yè)再次進(jìn)行預(yù)警,認(rèn)證過程中一定要檢驗(yàn)uid與accesstoken的一致性,否則用戶體系將發(fā)生難以預(yù)料的混亂,對(duì)用戶賬號(hào)內(nèi)敏感信息造成影響。
PS:大家可以進(jìn)行主動(dòng)發(fā)現(xiàn)一些存在問題的網(wǎng)站或APP,但請(qǐng)及時(shí)通知企業(yè)修復(fù)漏洞。