أسلوب جديد يعرّض مليار تطبيق موبايل للاختراق (فيديو)

توصل باحثان صينيان، من جامعة هونغ كونغ، لأسلوب جديد قادر على اختراق خصوصية مستخدمي ملايين التطبيقات على هواتفهم المحمولة، في إطار مؤتمر Black Hat الأوروبي للأمن المعلوماتي السنوي، وفقًا لما نقله موقع MUO التقني.

وأوضح الباحثان، أن المستخدم عند تسجيل دخوله بأحد حساباته الاجتماعية، لخدمة ما، عبر مواقع الويب، وأشهرها فيسبوك وتويتر وغوغل بلس، يعتمد على نظام يسمى Oauth، والذي يتيح لمقدمي خدمة SSO، تسجيل الدخول بخطوة واحدة، أن يقوموا بإرسال برمجية خاصة مباشرة إلى خوادم الخدمة، تؤكد هوية المستخدم محملة بعدد من المعلومات التي وافق المستخدم على مشاركتها مع الخدمة، وذلك يضمن التأكد من هوية المستخدم، ولا يسمح لأي شخص أن يتلاعب وينتحل شخصيته.

ووفقا لما أعلنه الباحثان، فإن الأمر مختلف على تطبيقات الهواتف الذكية، الآن، إذ إن التحديث الجديد Oauth 2.0 لا يتيح لمقدمي خدمات SSO أن يرسل برمجية التأكيد إلى خوادم التطبيق مباشرة، وإنما تقوم أولا بإرسالها لتطبيقها (تطبيق مقدمي SSO مثل فيسبوك وتويتر)، والذي يقوم بدوره بإرسال معلومات تأكيد الهوية لخوادم التطبيق المراد الدخول إليه، وهنا تكمن الثغرة.

ويستطيع الهاكرز أن ينفذوا هجومهم لأسلوب رجل في المنتصف Man in the Middle وذلك في النقطة التي يتم فيها إرسال معلومات التأكيد، من تطبيق فيسبوك مثلاً إلى التطبيق المراد تسجيل الدخول إليه.

وأكد الباحثان أنهما قاما بإبلاغ مقدمي خدمات SSO وكذلك متجرا التطبيقات الأكبر غوغل بلاي وآب ستور، واللذان يحتويان ما يفوق مليار تطبيق عرضة للهجوم الجديد.