کنفرانس بلکهت: آسیبپذیری oAuth 2.0 در اندروید
کنفرانس بلکهت، با نمایش حفره امنیتی پروتکل oAuth 2.0 آسیبپذیری تمامی دستگاههای اندرویدی را عمومی کرد.
به گزارش واحد متخصصین سایبربان، محققان امنیتی در کنفرانس بلکهت نشان دادن که پیادهسازی اشتباه پروتکل oAuth 2.0 میتواند بهراحتی باعث هک تلفن همراه اندرویدی شود.
هکر با استفاده از این آسیبپذیری میتواند به هر نرمافزاری که در تلفن همراه قربانی نصب است وارد شود، بدون آنکه خود قربانی متوجه شود. محققان امنیتی بلکهت نشان دادند بسیاری از نرمافزارها که از سرویس ورود یگانه (single sign-on) یا SSO استفاده میکنند، نتوانستهاند پروتکل oAuth 2.0 را بهخوبی پیادهسازی کنند.
پروتکل oAuth 2.0، یک پروتکل احراز هویتی است که بیشتر در شبکههای اجتماعی کاربرد دارد که میلیونها کاربر در دنیا با استفاده از آن وارد شبکه اجتماعی خود میشوند. هنگامیکه کاربر برای یکمرتبه احراز هویت شد، برای مرتبههای بعدی از ID برای احراز هویت استفاده میشود که توسط خود شبکههای اجتماعی برای کاربر تعریف میشود.
این نرمافزارها بهمنظور احراز هویت برای مراحل بعدی، تنها قانونی بودن صادرکننده ID را بررسی میکنند. محققان امنیتی البته اعلام کردند که روش فوق برای نرمافزارهای شرکت اپل نیز صادق است.