Упрощенный метод аутентификации пользователей Android-устройств на сайтах Google позволяет похищать пароли

В последнее время в мобильной операционной системе Android было обнаружено ряд новых уязвимостей, позволяющих похищать важные данные владельцев устройств под ее управлением.

Так, как ранее сообщал SecurityLab, одна из брешей в прошивке позволила ФБР создать специальное шпионское ПО, позволяющее отслеживать местоположение гаджета и незаметно для пользователя включать микрофон устройства и прослушивать его разговоры.

Теперь на конференции Defcon хакеры рассказали, как упрощенная система аутентификации пользователей Android-устройств на сайте Google позволяет похищать пароли жертв.

Функция упрощенной авторизации, которая позволяет владельцам гаджетов на базе ОС от Google заходить на сайт автоматически, и не требует ввода пароля от своей учетной записи называется «weblogin» и реализуется путем создания уникального маркера, который может быть использован для прямой аутентификации пользователей.

Такой метод позволяет экономить время на вводе учетных данных каждый раз при посещении ресурса интернет-компании, однако может спровоцировать потерю конфиденциальных данных.

По словам исследователя компании Tripwire Крэйга Янга (Craig Young), злоумышленники могут создавать поддельные приложения, способные перехватывать маркеры weblogin и пересылать их хакерам, которые в дальнейшем используют их для авторизации в Google Apps, Gmail, Drive, Calendar, Voice и других сервисах Google.

Примечательно, что приложение, способное наносить реальный вред пользователям, было размещено в Google Play под видом приложения для просмотра Google Finance, однако в описании четко указывалось на вредоносный характер разработки, которая не должна быть установлена пользователями.

Во время установки приложение спрашивает, может ли оно осуществить поиск созданных учетных записей на устройстве, использует найденный аккаунт и подключается к интернету.

Далее приложению требуется доступ к адресу, который начинается с «weblogin» и содержит ссылку «finance.google.com».

Второй запрос на разрешение авторизации является неинформативным, и, по словам Янга, большинство пользователей, не задумываясь, предоставляют приложению доступ. После получения доступа приложение копирует маркеры и автоматически подключает пользователей к сайту Google Finance. Однако, помимо легитимного подключения, вредоносное приложение по зашифрованному каналу подключает жертву к серверу злоумышленников.

Эксперт отметил, что приложение работает аналогичным образом и с другими сервисами Google.

Источник: securitylab.ru