10亿移动应用被发现账号易被劫持

香港中文大学的三名研究人员在Black Hat EU报告（PDF）发现了OAuth 2.0单点登录第三方移动应用实现的漏洞，允许攻击者通过恶意应用或网络中间人监听的方式在受害者不知情下远程劫持用户帐户。研究人员研究了三大身份提供商新浪、Facebook和Google的OAuth 2.0 API，这些身份提供商的注册用户数超过了8亿、15亿和25亿，它们被广泛用于第三方移动应用的单点登录。研究人员检查了200个最受欢迎的中国移动应用和400个最受欢迎的美国的移动应用，发现支持新浪账号登录的中国应用有约70%账号易被劫持，相比之下Facebook是15.25%，Google是8%。存在漏洞的移动应用下载量超过24亿，如图所示，大部分存在漏洞的移动应用使用的是新浪的单点登录，研究人员没有公布应用的名字，只是透露了这些移动应用的类型和下载量，通过这些信息还是有可能大概猜测出哪些应用存在漏洞。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/