Обнаружен новый метод взлома аккаунтов в мобильных приложениях.

Здесь может быть ваша реклама

Атака возможна из-за ошибки в реализации протокола аутентификации OAuth 2.0.

Группа специалистов из Университета Гонконга продемонстрировала новый метод, позволяющий удаленно получить доступ к любой учетной записи в Android- и iOS-приложениях без ведома жертвы.

В рамках исследования эксперты проанализировали 600 наиболее популярных в США и Китае Android-приложений, 182 из которых поддерживали технологию единого входа (Single Sign-On). В 41% приложений исследователи обнаружили проблему, связанную с реализацией протокола авторизации OAuth 2.0. Данный протокол, позволяющий реализовать безопасную аутентификацию пользователей, предоставляет возможность подписчикам Google, Facebook, Microsoft или Twitter получить доступ из своих учетных записей на другие web-сайты.

При использовании OAuth 2.0 для авторизации в стороннем приложении, программа обращается к ID-провайдеру (скажем, Facebook) для верификации данных аутентификации. В случае, если информация достоверна, Facebook отправляет маркер доступа (Access Token), который затем передается на сервер мобильного приложения. В результате пользователь может авторизоваться в приложении, используя учетные данные Facebook.

Как оказалось в ходе анализа, в огромном числе Android-приложений некорректно реализован механизм, проверяющий наличие взаимосвязи между пользователем и ID-провайдером. То есть, сервер проверяет только идентификатор пользователя. Как поясняют эксперты, злоумышленники могут удаленно загрузить уязвимое приложение, авторизоваться при помощи собственных учетных данных, а затем изменить логин на имя пользователя жертвы при помощи сервера, способного модифицировать данные, отправленные Facebook, Google или другими сервисами. Таким образом атакующие могут получить доступ ко всем данным в приложении.

Например, хакеры могут взломать приложения для планирования путешествий или бронирования гостиничных номеров и получить доступ к планировщику жертвы, оплатить номер в отеле или похитить персональную информацию, такую как данные банковского счета или адрес проживания.

Источник — securitylab.ru

detroit lions 13 minnesota vikings 14Small business loans typically require careful thought and creativity. There is almost always a twist. The smaller banks are much better able to handle this.». «Many athletes get the infection after surgery, including Grant Hill of the Magic and the Patriots’ Junior Seau. When athletes get MRSA infections which don’t involve surgery, these are called «community acquired.» These infections have struck at all athletic levels from high schools to the pros and in virtually every sport. But most reported cases have been in wrestling, and particularly football, because athletes often sustain open wounds and there’s frequent skin to skin contact.. Building effective and long term treatment strategies requires genetic modulations that are stable and long lasting. Adeno associated virus (AAV) offers several significant advantages when compared with other gene delivery systems. For example, AAV serotypes transduce different cells and neurons, do not provoke toxicity in humans, provide long term expression, there is a wide selection of available promoters and there are continuous improvements in vector capsid engineering.17, 18, 19, 20 More relevant to this study, AAV mediated retrograde transduction approaches selectively transduce CSMN within the complex and heterogeneous structure of the motor cortex, without affecting other neurons or cell types.15 This selective transduction revealed early apical dendrite degeneration as an important mechanism contributing to CSMN degeneration and also suggested further utilization of AAV to modulate CSMN gene expression.3, 15 These unique properties make AAV one of the best candidates for gene transfer and replacement studies in CSMN.. Now Payton was a hero of Tomlinson when he was a child, and he has nothing but respect for the man. At the same time, Tomlinson had visualized the moment of passing the record so many times he wasn’t taken wholesale nfl jerseys aback by his success when it actually happened. (I bet LT, more than anyone, is Baratas Replicas Ray Ban seeing that victory over New England on Sunday.). As a Polish friend observed to me some years ago: prada online outlet Till the year 48 the Polish problem has been to a certain extent a convenient rallying point for all manifestations of liberalism. Since that time we have come to be regarded simply as a nuisance. It s very cheap football jerseys disagreeable.. The problem is, natural flavor can, literally, be anything that isn’t man made. Cat urine could be a natural flavor. If someone discovered that goat jizz added a special zing to ice cream and they could prove that eating it wouldn’t make you sick . Mozilla Firefox includes a search bar with search engines Cheap mlb Jerseys from Google, Bing, Amazon, Yahoo, Wikipedia and others. End users of Firefox can manage the search engines by adding or removing search engines, according to their preference. You can configure the search providers to show a search fake ray ban sunglasses suggestion, but it is enabled by default..

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *