4成採用OAuth 2.0+SSO的行動程式有漏洞，10億用戶帳號可能遭挾持

3名來自香港中文大學的安全研究人員於上周揭露，基於令牌的授權開放標準OAuth 2.0含有一執行瑕疵，若再加上開發人員未留意程式與該標準的安全互動，將允許駭客挾持使用者帳號。在所測試的600款行動程式中，約有41.2%擁有該漏洞，殃及10億個用戶帳號。

迄今已有許多主流身分供應商採用OAuth 2.0以提供單一登入（Single-Sign-On，SSO）服務，包括Google、Facebook與新浪網等，同時也有大量的行動程式支援SSO。

此一研究報告名為「輕鬆登入10億個基於OAuth 2.0的行動程式帳號」（Signing into One Billion Mobile App Account Effortlessly with OAuth2.0），研究人員打造了一個攻擊程式，檢查了中國及美國市場最受歡迎的600款行動程式，這些程式都支援基於OAuth 2.0的SSO，發現其中的42.1%允許遠端駭客在使用者完全不需與之互動也未察覺的情況下遠端登入使用者的行動程式，危及10億個帳號。

研究人員指出，一來OAuth2.0已被行動程式的系統設定及操作環境所覆蓋，二來OAuth2.0並未定義基於SSO程序時行動程式與後端伺服器互動時所需的安全要求，再加上身分供應商所打造的各種以OAuth2.0為基礎的客製化API缺乏使用上的安全準則，而出現了安全缺口。

駭客將能透過中間人攻擊登入使用者的帳號，有許多受歡迎的約會程式、旅遊程式、購物程式、訂房程式、金融程式、聊天程式與新聞程式都可被攻陷，當駭客掌控了使用者帳號之後，即可存取儲存於程式後端伺服器的使用者機密資訊，甚至利用使用者的帳號打電話或購物等。

根據研究人員的說法，該漏洞的根本原因其實很常見，就只是後端伺服器誤信了來自行動程式的不當憑證資訊罷了。