OAuth 2.0 部署不當，數十億 APP 帳號存在洩露風險

標題：OAuth 2.0 部署不當，數十億 APP 帳號存在洩露風險

摘要：
OAuth認證是什麼？

許多社交網絡平台，包括新浪微博、Google、Facebook等，都在使用OAuth 2.0認證協議。這個認證協議可以讓用戶在一處登錄後，通過認證已有的身份，登錄第三方服務，而不需要提供其它信息。

香港大學的三名安全研究人員發現，眾多支持單點登錄的App沒有正確部署OAuth2.0認證協議，攻擊者可利用此漏洞遠程登陸任何用戶的App賬戶。

Ronghai Yang、Wing Cheong Lau和Tianyu Liu調查了美國和中國最熱門的600個Android應用，發現182個應用支持單點登錄服務，這其中有41%沒有正確部署OAuth2.0協議。

攻擊者可以利用這種方法，洩露用戶敏感信息，或者以用戶名義在相應App上操作。

在採訪時，Lau表示OAuth2.0部署問題其實是個基礎性的錯誤。但是，影響範圍卻可能很嚴重。

Yang和Lau在2016歐洲黑帽大會上展示了他們的研究成果。

簡報下載處：
OAuth User Profile Attack ：How to Sign into One Billion Mobile App Accounts Effortlessly
https://www.blackhat.com/…/eu-16-Yang-Signing-Into-Billion-…

內文引用：
OAuth2.0部署不當，數十億Android App賬戶存洩露風險
http://www.freebuf.com/news/119308.html

原始資料：
Over 1 Billion Mobile App Accounts can be Hijacked Remotely with this Simple Hack
http://thehackernews.com/2016/11/android-oauth-hacking.html