विज्ञापन

इस वर्ष के ब्लैक हट यूरोप सुरक्षा सम्मेलन में, चीनी हांगकांग विश्वविद्यालय के दो शोधकर्ता प्रस्तुत शोध जिसमें एंड्रॉइड ऐप्स को प्रभावित करने वाला एक शोषण दिखाया गया है संभावित रूप से हमला करने के लिए असुरक्षित एक अरब से अधिक स्थापित एप्लिकेशन छोड़ सकते हैं।

शोषण OAuth 2.0 प्राधिकरण मानक के मोबाइल कार्यान्वयन के एक मध्य-मध्य हमले पर निर्भर करता है। यह बहुत तकनीकी लगता है, लेकिन वास्तव में इसका क्या मतलब है, और क्या आपका डेटा सुरक्षित है?

OAuth क्या है?

OAuth कई वेबसाइटों और ऐप द्वारा उपयोग किया जाने वाला एक खुला मानक है 3 आवश्यक सुरक्षा शर्तें जिन्हें आपको समझने की आवश्यकता हैएन्क्रिप्शन द्वारा भ्रमित किया गया? OAuth से चकित, या रैंसमवेयर द्वारा डर गया? चलो सबसे अधिक इस्तेमाल की जाने वाली सुरक्षा शर्तों में से कुछ पर ब्रश करते हैं, और वास्तव में उनका क्या मतलब है। अधिक पढ़ें आपको कई OAuth प्रदाताओं में से किसी एक खाते का उपयोग करके किसी तृतीय-पक्ष ऐप या वेबसाइट पर लॉग इन करने की अनुमति देता है। सबसे आम और प्रसिद्ध उदाहरणों में से कुछ Google, फेसबुक और ट्विटर हैं।

एकल साइन ऑन (एसएसओ) बटन आपको अपनी खाता जानकारी तक पहुंच प्रदान करने की अनुमति देता है। जब आप फेसबुक बटन पर क्लिक करते हैं, तो तृतीय-पक्ष ऐप या वेबसाइट एक्सेस टोकन की तलाश करती है, यह आपकी फेसबुक जानकारी तक पहुंच प्रदान करता है।

instagram viewer

यदि यह टोकन नहीं मिला, तो आपको अपने फेसबुक खाते में तीसरे पक्ष की पहुंच की अनुमति देने के लिए कहा जाएगा। एक बार जब आप इसे अधिकृत कर लेते हैं, तो फेसबुक को तीसरे पक्ष से एक संदेश प्राप्त होता है जो एक्सेस टोकन मांगता है।

OAuth अनुसंधान वेबसाइट लॉगिन

फेसबुक एक टोकन के साथ प्रतिक्रिया करता है, आपके द्वारा निर्दिष्ट जानकारी तक तीसरे पक्ष की पहुंच प्रदान करता है। उदाहरण के लिए, आप अपनी मूल प्रोफ़ाइल जानकारी और मित्र सूची तक पहुंच प्रदान करते हैं, लेकिन अपनी फ़ोटो नहीं। तृतीय-पक्ष टोकन प्राप्त करता है और आपको अपने फेसबुक क्रेडेंशियल्स के साथ लॉगिन करने की अनुमति देता है। फिर, जब तक टोकन समाप्त नहीं होता, तब तक आपके पास अधिकृत जानकारी तक पहुंच होगी।

यह एक महान प्रणाली की तरह लगता है। आपको कम पासवर्ड याद रखने होंगे, और आपके पास पहले से मौजूद जानकारी के साथ आसानी से लॉगिन और अपनी जानकारी को सत्यापित करना होगा। नए पासवर्ड बनाते समय मोबाइल पर SSO बटन और भी उपयोगी होते हैं, जहाँ एक नए खाते को अधिकृत करने में समय लग सकता है।

समस्या क्या है?

सबसे हालिया OAuth ढांचा - OAuth 2.0 - अक्टूबर 2012 में जारी किया गया था, और इसे मोबाइल एप्लिकेशन के लिए डिज़ाइन नहीं किया गया था। इसने कई ऐप डेवलपर्स को OAuth को अपने दम पर लागू करने के लिए प्रेरित किया है, बिना यह मार्गदर्शन किए कि यह कैसे सुरक्षित रूप से किया जाना चाहिए।

जबकि वेबसाइटों पर OAuth तृतीय-पक्ष और SSO प्रदाता के सर्वर के बीच सीधे संचार का उपयोग करता है, मोबाइल एप्लिकेशन इस प्रत्यक्ष संचार पद्धति का उपयोग नहीं करते हैं। इसके बजाय, मोबाइल एप्लिकेशन आपके डिवाइस के माध्यम से एक दूसरे से संवाद करते हैं।

OAuth रिसर्च ऐप लॉगिन करें

एक वेबसाइट पर OAuth का उपयोग करते समय, फेसबुक एक्सेस टोकन और प्रमाणीकरण जानकारी को सीधे तीसरे पक्ष के सर्वर पर वितरित करता है। उपयोगकर्ता को लॉग इन करने या किसी भी व्यक्तिगत डेटा तक पहुंचने से पहले यह जानकारी मान्य की जा सकती है।

शोधकर्ताओं ने पाया कि एंड्रॉइड अनुप्रयोगों का एक बड़ा प्रतिशत इस सत्यापन को याद नहीं कर रहा था। इसके बजाय फेसबुक के सर्वर फेसबुक ऐप पर एक्सेस टोकन भेजते हैं। तब टोकन को तीसरे पक्ष के ऐप पर वितरित किया जाएगा। तृतीय-पक्ष ऐप फिर आपको फेसबुक के सर्वरों के साथ पुष्टि किए बिना लॉगिन करने की अनुमति देगा कि उपयोगकर्ता जानकारी वैध थी।

हमलावर OAuth टोकन अनुरोध को ट्रिगर करते हुए, खुद को लॉगिन कर सकता था। एक बार फेसबुक ने टोकन को अधिकृत कर लिया, वे फेसबुक के सर्वर और फेसबुक ऐप के बीच खुद को सम्मिलित कर सकते हैं। इसके बाद हमलावर पीड़ित के टोकन पर यूजर आईडी बदल सकता है। उपयोगकर्ता नाम आमतौर पर सार्वजनिक रूप से उपलब्ध जानकारी भी है, इसलिए हमलावर के लिए बहुत कम बाधाएं हैं। एक बार उपयोगकर्ता आईडी बदल दी गई है - लेकिन प्राधिकरण अभी भी दी गई है - पीड़ित के खाते के तहत तृतीय-पक्ष ऐप लॉगिन करेगा।

OAuth अनुसंधान MiM

इस प्रकार के शोषण को ए के रूप में जाना जाता है मैन-इन-द-मिडिल (मिट्म) हमला एक मध्य-मध्य हमला क्या है? सुरक्षा शब्दजाल समझायायदि आपने "मैन-इन-द-मिडिल" हमलों के बारे में सुना है, लेकिन यह निश्चित नहीं है कि इसका क्या मतलब है, तो यह आपके लिए लेख है। अधिक पढ़ें . यह वह जगह है जहां हमलावर डेटा को बाधित करने और बदलने में सक्षम है, जबकि दो पक्ष मानते हैं कि वे सीधे एक दूसरे के साथ संवाद कर रहे हैं।

यह आपको कैसे प्रभावित करता है?

यदि कोई हमलावर किसी ऐप को यह विश्वास दिलाने में सक्षम है कि वह आप हैं, तो हैकर को उस सेवा में संग्रहीत सभी सूचनाओं तक पहुंच प्राप्त होती है। शोधकर्ताओं ने नीचे दी गई तालिका बनाई, जो विभिन्न प्रकार के ऐप्स पर आपके द्वारा बताई गई कुछ जानकारियों को सूचीबद्ध करती है।

OAuth अनुसंधान भेद्यता तालिका

कुछ प्रकार की जानकारी दूसरों की तुलना में कम हानिकारक हैं। आपको अपने सभी यात्रा योजनाओं की तुलना में अपने समाचार पढ़ने के इतिहास को उजागर करने या आपके नाम पर निजी संदेश भेजने और प्राप्त करने की क्षमता के बारे में चिंतित होने की संभावना कम है। यह नियमित रूप से तीसरे पक्ष को सौंपने वाली सूचनाओं के प्रकारों और इसके दुरुपयोग के परिणामों की याद दिलाता है।

क्या आपको चिंता करनी चाहिए?

शोधकर्ताओं ने पाया कि गूगल प्ले स्टोर पर एसएसओ को सपोर्ट करने वाले 600 सबसे लोकप्रिय एप्स में से 41.21% मिटम अटैक की चपेट में थे। यह संभावित रूप से दुनिया भर के अरबों उपयोगकर्ताओं को इस प्रकार के हमले से अवगत करा सकता है। टीम ने एंड्रॉइड पर अपना शोध किया लेकिन उनका मानना ​​है कि इसे iOS पर दोहराया जा सकता है। यह संभावित रूप से इस हमले के लिए संवेदनशील दो सबसे बड़े मोबाइल ऑपरेटिंग सिस्टम पर लाखों ऐप छोड़ देगा।

ऐप स्टोर शटरस्टॉक
छवि क्रेडिट: शटरस्टॉक के माध्यम से ब्लूमिकॉन

लेखन के समय, इंटरनेट इंजीनियरिंग टास्क फोर्स (IETF) की ओर से कोई आधिकारिक बयान नहीं आया है जिसने OAuth 2.0 विनिर्देश विकसित किए हैं। शोधकर्ताओं ने प्रभावित ऐप्स का नाम लेने से इनकार कर दिया है, इसलिए आपको मोबाइल ऐप पर एसएसओ का उपयोग करते समय सावधानी बरतनी चाहिए।

एक चांदी का अस्तर है। शोधकर्ताओं ने पहले ही Google और फेसबुक, और शोषण के अन्य एसएसओ प्रदाताओं को सतर्क कर दिया है। शीर्ष पर, वे समस्या को ठीक करने के लिए प्रभावित तृतीय-पक्ष डेवलपर्स के साथ काम कर रहे हैं।

अब आप क्या कर सकते हैं?

जबकि एक तय रास्ते पर हो सकता है, वहाँ हैं बहुत प्रभावित ऐप्स को अपडेट किया जाए। इसमें कुछ समय लगने की संभावना है, इसलिए हो सकता है कि इस बीच एसएसओ का उपयोग न किया जाए। इसके बजाय, जब आप एक नए खाते के लिए पंजीकरण करते हैं, तो सुनिश्चित करें कि आप एक मजबूत पासवर्ड बनाएं एक अटूट पासवर्ड बनाने के 6 टिप्स जो आपको याद रह सकते हैंयदि आपके पासवर्ड अद्वितीय और अटूट नहीं हैं, तो आप सामने के दरवाजे को खोल सकते हैं और लुटेरों को दोपहर के भोजन के लिए आमंत्रित कर सकते हैं। अधिक पढ़ें आप भूल नहीं गए। या तो वह या पासवर्ड मैनेजर का उपयोग करें पासवर्ड मैनेजर कैसे आपके पासवर्ड को सुरक्षित रखते हैंऐसे पासवर्ड जिन्हें क्रैक करना मुश्किल है, उन्हें याद रखना भी मुश्किल है। सुरक्षित रहना चाहते हैं? आपको पासवर्ड मैनेजर चाहिए। यहां बताया गया है कि वे कैसे काम करते हैं और वे आपको कैसे सुरक्षित रखते हैं। अधिक पढ़ें आप के लिए भारी उठाने के लिए।

यह अच्छा अभ्यास है अपने स्वयं के सुरक्षा जांच का संचालन करें एक वार्षिक सुरक्षा और गोपनीयता जांच के साथ अपने आप को सुरक्षित रखेंनए साल में हम लगभग दो महीने हैं, लेकिन सकारात्मक संकल्प करने के लिए अभी भी समय है। कम कैफीन पीने को भूल जाओ - हम ऑनलाइन सुरक्षा और गोपनीयता की सुरक्षा के लिए कदम उठाने के बारे में बात कर रहे हैं। अधिक पढ़ें समय समय पर। Google भी करेगा आपको क्लाउड स्टोरेज में पुरस्कृत करता है यह 5-मिनट का Google Checkup आपको 2 GB फ्री स्पेस देगायदि आप इस सुरक्षा जांच से गुजरने में पाँच मिनट का समय लेते हैं, तो Google आपको Google डिस्क पर 2 GB मुक्त स्थान देगा। अधिक पढ़ें उनका चेकअप करने के लिए। यह एक आदर्श समय है देखें कि आपने किन ऐप्स को अनुमति दी है सामाजिक लॉगिन का उपयोग करना? अपने खातों को सुरक्षित करने के लिए ये कदम उठाएंयदि आप एक सामाजिक लॉगिन सेवा (जैसे Google या फेसबुक) का उपयोग कर रहे हैं, तो आप सोच सकते हैं कि सब कुछ सुरक्षित है। ऐसा नहीं है - यह सामाजिक लॉगिन की कमजोरियों पर एक नज़र डालने का समय है। अधिक पढ़ें अपने SSO खातों पर। ये है फेसबुक जैसी साइट पर विशेष रूप से महत्वपूर्ण है कैसे अपने तीसरे पक्ष के फेसबुक लॉगिन प्रबंधित करने के लिए [साप्ताहिक फेसबुक टिप्स]किसी तीसरे पक्ष की साइट को आपने अपने फेसबुक खाते तक पहुंचने की कितनी बार अनुमति दी है? यहां बताया गया है कि आप अपनी सेटिंग कैसे प्रबंधित कर सकते हैं। अधिक पढ़ें , जो संग्रहीत करता है बहुत ही व्यक्तिगत जानकारी की जबरदस्त मात्रा कैसे डाउनलोड करें अपना पूरा फेसबुक इतिहासइन वर्षों में फेसबुक ने आपके बारे में बहुत सारे डेटा एकत्र किए हैं। इस लेख में, हम बताते हैं कि अपने फेसबुक इतिहास को कैसे डाउनलोड किया जाए और आपको किस चीज की संभावना है। अधिक पढ़ें .

क्या आपको लगता है कि सिंगल साइन ऑन से दूर जाने का समय आ गया है? आपको क्या लगता है कि सबसे अच्छा लॉगिन तरीका क्या है? क्या आप इस शोषण से प्रभावित हैं? नीचे टिप्पणी करके हमें बताएं!

छवि क्रेडिट: मार्क ब्रुक्सेल / शटरस्टॉक

जेम्स MakeUseOf के खरीदना मार्गदर्शिकाएँ और हार्डवेयर समाचार संपादक और फ्रीलांस लेखक सभी के लिए प्रौद्योगिकी को सुलभ और सुरक्षित बनाने के बारे में भावुक है। प्रौद्योगिकी के साथ-साथ स्वास्थ्य, यात्रा, संगीत और मानसिक स्वास्थ्य में भी रुचि रखते हैं। सरे विश्वविद्यालय से मैकेनिकल इंजीनियरिंग में बी.ई.जी. PoTS Jots में पुरानी बीमारी के बारे में भी लिखा जा सकता है।