See on andmepüügiskeem, mida isegi mitme teguriga autentimine ja parooli muutmine ei paranda.

Kolmapäeval levis Gmailis tohutu Google Docs-i andmepüügi rünnak, ründas inimeste kontosid ja rämpsposti ohvrite kontaktiloendisse. Google sulges rünnaku kiiresti, mis mõjutas umbes 0, 1 protsenti Gmaili kasutajatest.

Isegi selle väikese arvu juures, kus on umbes 1 miljard Gmaili kasutajat, on see vähemalt 1 miljon inimest ohustatud. Ja tüüpiline andmepüügi avastamine, mida Gmail pakub, ei saa seda blokeerida, sest rünnak ei vaja isegi ohvreid oma paroolide sisestamiseks.

Andmepüügi kelmus tugines OAuthi ärakasutamisele, mis on harvaesinev süsteem, mis kolmapäeval ennast maailmale avaldas. OAuth, mis tähistab avatud autoriseerimist, võimaldab rakendustel ja teenustel rääkida üksteisele ilma oma kontodesse sisse logimata. Mõtle sellele, kuidas teie Amazon Alexa Google'i kalendri sündmusi lugeda või kuidas Facebooki sõbrad saavad näha, millist laulu te kuulate Spotify'is. Viimase kolme aasta jooksul hüppasid rakendused, mis kasutavad OAutti, Cisco Cloudlocki järgi 5500-lt 276 000-le.

"Nüüd, kui see tehnika on laialt tuntud, võib see tekitada märkimisväärse probleemi - on nii palju võrguteenuseid, mis kasutavad OAutti ja neil on raske täielikult looma kõiki kolmanda osapoole rakendusi, " ütles Greg Martin. Küberjulgeoleku firma Jask tegevjuht e-posti teel.

Kuidas Google'i dokumentide kasutamine tüüpilistest andmepüügirünnakutest erinev?

Tüüpiline andmepüügi rünnak sisaldab veebilehte, mis on mõeldud teie parooli trükkimiseks, tundliku teabe saatmiseks varasele või selle andmebaasi sisselogimisele.

OAuthi kasutamisega, nagu Google Docs'i kelmuse puhul, saab kontosid kaaperdada ilma kasutaja kirjutamata. Google Docs-skeemis lõi ründaja võltsitud Google'i dokumentide versiooni ja palus luba lugeda, kirjutada ja kasutada ohvri kirju.

OAuthi kasutamise loa andmisega andisite tõhusalt halvad poisid juurdepääsu teie kontole ilma parooli nõudmata.

Miks ma ei saa oma parooli lihtsalt muuta?

OAuth ei tööta paroolide kaudu, see toimib loamärgiste kaudu. Kui parool on teie ukse lukustav võti, on OAuth uksehoidja, kellel on võtmed ja kellele lüüakse teised inimesed.

Te peate tühistama sissetungijate väljaheitmise õigused.

Miks ei peata mitmeteguriga autentimine OAuth'i kasutust?

Mitme teguriga autentimine kutsub teid sisestama turvakoodi, kui proovite parooli kaudu sisse logida.

Jällegi, selles kasutuses ei ole paroolid sisenemispunkt. Nii et kui häkkerid kasutavad OAutti, ei pea nad parooli sisestama - ohver dupedly andis loa juba tegi.

"Rakenduste endil ei pea olema teine ​​tegur, kui kasutaja on andnud õigused, " on Cisco uuringu kohaselt.

Niisiis, mida ma peaksin tegema, kui ma langesin nagu Gmaili andmepüügirikkus?

Õnneks on parandust lihtsam käsitseda kui siis, kui sa langeksid standardse andmepüügi kasutamise eest. Google'i puhul saate õigused tühistada, minnes aadressile //myaccount.google.com/permissions. Kui võltsrakendus on suletud, nagu Google tegi Google'i dokumentidega, on luba automaatselt tühistatud.

Teiste OAutti kasutavate teenuste puhul ei pruugi see nii lihtne olla. Enamikul OAutti toetavatel teenustel on leht, kus saate hallata oma õigusi, näiteks Twitteri rakenduste lehel. Android 6.0-seadmetel saate rakenduste halduril oma seaded tühistada.

Kahjuks on sadu tuhandeid rakendusi, mis kasutavad OAutti ja ei ole enamusel inimestel piisavalt aega nende õiguste leidmiseks.

CNET Magazine: Kontrollige CNETi ajalehe väljaandes leiduvate lugude valimit.

See on keeruline: see on rakenduste vanus. Lõbutsege veel? Need lood lähevad asja südamesse.