通过这种简单的黑客攻击，可以远程劫持超过10亿个移动应用账户

由三名研究人员组成的小组–；杨荣海、刘永昌和刘天宇–；来自中国香港大学的研究发现，支持单点登录（SSO）服务的大多数流行的移动应用程序都已经安全地实现了OAuth2。

OAuth 2.0是一个开放的授权标准，允许用户通过验证其谷歌、Facebook或中国公司新浪账户的现有身份来登录其他第三方服务。

此过程允许用户登录任何服务，而无需提供其他用户名或密码。

应用程序开发人员如何实现OAuth？（正确的方式）

当用户通过OAuth登录到第三方应用程序时，该应用程序会向ID提供商（比如Facebook）检查是否有正确的身份验证详细信息。如果确实如此，OAuth将从Facebook获得一个“访问令牌”，然后将其发送到该移动应用程序的服务器。

一旦颁发了访问令牌，应用服务器就会从Facebook请求用户的身份验证信息，并进行验证，然后让用户使用他/她的Facebook凭据登录。

应用程序开发人员实际上是如何实现OAuth的？（错误的方式）

研究人员发现，大量Android应用程序的开发人员没有正确检查Facebook、谷歌或新浪等ID提供商发送的信息的有效性。

应用服务器不会验证附加到用户身份验证信息的OAuth信息（访问令牌），以验证用户和ID提供者是否链接，而只会检查从ID提供者检索到的用户ID。

由于这个错误，远程黑客可以下载易受攻击的应用程序，使用自己的信息登录，然后通过设置服务器修改Facebook、谷歌或其他ID提供商发送的数据，将用户名更改为他们想要攻击的个人（黑客可以猜到或谷歌）。

据《福布斯》报道，一旦完成，snoop就可以完全控制应用程序中的数据。

影响

如果黑客侵入受害者的旅行应用程序，他们可以了解受害者的日程安排；如果闯入酒店预订应用程序，他们可以为自己预订一个房间，并让受害者付费；或者干脆窃取受害者的个人数据，比如住址或银行详细信息。

“OAuth协议相当复杂，”刘告诉福布斯。“很多第三方开发者都是ma和pa商店，他们没有这种能力。大多数时候，他们都在使用谷歌和Facebook的推荐，但如果他们做得不对，他们的应用程序将是完全开放的。”

研究人员发现，美国和中国数百款流行的Android应用程序支持SSO服务，总下载量超过24亿次，易受此问题影响。

考虑到选择基于OAuth登录的用户数量，研究人员估计，超过10亿个不同的移动应用程序帐户有被攻击劫持的风险。

研究人员没有在iPhone上测试他们的攻击，但他们相信，他们的攻击会在苹果iOS移动操作系统上的任何易受攻击的应用上起作用。

研究人员说：“尽管我们目前的攻击是在Android平台上进行的，但这种攻击本身与平台无关：任何易受攻击的移动应用的iOS或Android用户，只要他/她之前在应用中使用过基于OAuth2.0的SSO服务，就会受到影响。”。

Yang和Lau提交了他们的研究论文，题为《轻松地使用OAuth2登录10亿个移动应用账户》。在周五的黑帽欧洲会议上。