Autenticazione Android one-click, sicurezza a Rischio?

Di - 10 September 2013 - in
Post image for Autenticazione Android one-click, sicurezza a Rischio?

Alla conferenza Def Con 21, tenutasi dal 1 al 4 Agosto, Craig Young, ricercatore per la sicurezza informatica di Tripwire, ha mostrato i risultati di una ricerca iniziata a Febbraio che mostra problemi di sicurezza durante l’autenticazione ai servizi di Google attraverso la funzionalità di Weblogin.

Dopo alcune ricerche sul funzionamento di Weblogin, il ricercatore è stato in grado di creare una finta applicazione di analisi finanziaria e un finto youtube downloader e pubblicarle senza problemi sul Google PlayStore.

L’exploit

Weblogin è uno dei metodi di autenticazione ai servizi di Google per permettere ad un’applicazione di accedere a parte dei dati relativi al nostro Google Account.

Le applicazioni scritte per l’occasione si spacciavano per applicazioni si analisi finanziaria, quindi richiedono l’accesso a Google Finance.

Durante l’installazione, i permessi richiesti dall’applicazione sono quelli di accedere alla rete e agli account registrati sul device, quindi nulla di strano per un’applicazione che autorizziamo ad accedere ai nostri dati su Google Finance.

Alla prima esecuzione ci troveremo davanti una schermata simile a questa:

La richiesta di autorizzazione è del tutto legittima, riusciamo a leggere che viene richiesta l’autorizzazione al servizio “finance” e che verremo reindirizzati all’indirizzo in SSL a finance.google.com; tutto estremamente in regola e sicuro…

Sfortunatamente no!

I token di autenticazione che vengono resitutiti all’applicazione, sono universali, quindi possono essere utilizzati anche per richiedere altri dati e non solo quelli autorizzati (es. le email di GMail, i file di Google Drive, etc…); quello che deve fare l’applicazione è salvare questi token (pratica comune e utile per non richiedere l’autorizzazione all’utente ad ogni esecuzione) ed inviarli al server permettendo in un secondo momento di accedere agli altri nostri dati.

Google Bouncer e gli antivirus

Bouncer è il sistema di analisi del Google Play Store che si occupa di analizzare le applicazioni alla ricerca di spyware, malware e più in generale virus, e nel caso di queste applicazioni non ha segnalato nessuna problema.

Stessa cosa è avvenuta per varie applicazioni di antivirus per Android che, come ben sappiamo, non possono fare controlli approfonditi su cosa sta facendo un’applicazione e quindi non identificano questa applicazione come malware.

Maggiori dettagli sono presenti nelle Slides della presentazione al DefCon.

Facciamo attenzione, ma non fasciamoci la testa

Weblogin è un metodo ancora supportato ma di per sè obsoleto per ottenere i token di autenticazione e andare a consultare manualmente la API necessaria all’applicazione.

Fate attenzione a questo tipo di applicazioni! Possono essere dannose e probabilmente sono abbastanza datate e conseguentemente potrebbero non essere ottimizzate, sia dal punto di vista grafico/di utilizzo, sia dal punto di vista del consumo di banda e batteria.

Google mette a disposizione le SDK per svariati dei sui servizi, in diversi linguaggi di programmazione e per diverse piattaforme di sviluppo (es. Android e IOs), facilitando tutta la parte di autenticazione.

Ad Esempio, un’applicazione che vuole accedere ai nostri dati di Google Drive con la Google Drive SDK mostrera’ un popup di autorizzazione simile al seguente:

Questo popup e’ decisamente piu’ informativo e l’applicazione non riceve nessun token da salvare (nel caso di altri linguaggi (JS, .Net, etc…) si ricevono i token OAuth2 da salvare, ma non e’ possibile richiedere nessun dato oltre a quelli autorizzati al momento della ricezione dei token stessi).

Quello che avviene per Android, è che l’applicazione non richiede via web l’autorizzazione, ma la richiede attraverso i Google Play Services, integrati in Android 2.2+, i quali si occupano dello scambio dei token OAuth2 senza che lo sviluppatore abbia mai accesso ad essi.

Via | PCWorld

 

Leave a Reply

Articolo scritto da

Techy, sviluppatore .Net per professione, sviluppatore Android per passione. All Around Android Lover e Google Enthusiast

Contatta l'autore

Previous post:

Next post: