Mobile apps har usikkert system til login

Sikkerhedsforskere har fundet usikre implementeringer af standarden OAuth 2.0 i fire ud af ti apps til smartphones og tablet.

OAuth 2.0 blev oprindelig udviklet for at gøre det at dele autentifikationsdetaljer mellem websteder. På den måde kan brugeren fx logge ind på Facebook og derefter genbruge sit login til at få adgang til andre tjenester, der samarbejder med Facebook.

Siden er flere udviklere begyndt at bruge standarden til på samme vis at dele oplysninger med apps.

Men ifølge tre sikkerhedsforskere fra det kinesiske universitet i Hong Kong implementerer mange protokollen på en usikker måde. Problemet skyldes for høj tillid til de informationer, den mobile app leverer.

Sårbarheden kan findes på alle mobile systemer, der anvender OAuth. Forskerne har undersøgt 600 apps til Android, der bruger OAuth op imod Facebook, Google og Sina (som står bag den kinesiske tjeneste Weibo). 41 procent af appsene har sårbarheden.

Anbefaling

Vær forsigtigt med at genbruge logins på tværs af mobile apps.

Links