G.O.S.S.I.P 阅读推荐 2022-07-15

admin
admin
admin
102258
文章
87
评论
2022年7月17日03:11:02评论16 views字数 1970阅读6分34秒阅读模式

G.O.S.S.I.P 阅读推荐 2022-07-15

类似OAuth这样的服务已经得到了互联网的普遍认可,很多网站支持通过重要的互联网服务提供商(如Google、Facebook、Twitter、微信等)的账号一键授权快捷登录,这种登录方式可以使得用户无需为每一个网站注册一个单独的账号。当然,这其中也有很多安全问题,早在2015年我们就发表过相关的研究论文Vulnerability Assessment of OAuth Implementations in Android Applications(https://lijuanru.com/publications/acsac15.pdf) 讨论过相关问题,今天我们继续给大家推荐一篇USENIX Security 2022的研究论文——Security and Privacy Perceptions of Third-Party Application Access for Google Accounts,针对第三方应用使用Google账号进行登录的安全和隐私问题进行了深入探讨

G.O.S.S.I.P 阅读推荐 2022-07-15

作者指出,利用Google账号来登录和授权第三方应用的行为,可能会被一些第三方应用提供商滥用,造成Google等账号隐私信息的泄露,严重者可导致第三方应用假冒用户身份对Google等账号提供的诸如日程、邮件等服务进行修改。本文中,作者招募 432 位实验参与者,进行了两个与使用 Google 账号登录第三方应用有关的问卷调查。

问卷一

第一个问卷主要调查参与者对第三方应用使用 Google 账号的使用情况和了解程度以及他们对这种第三方使用所持有的隐私安全方面的顾虑。

作者将 Google 账号的第三方使用分为两种情况:第一种情况是 Sign in with Google,即使用 Google 账号登录第三方应用,这种情况下第三方应用需要用户授权获取 Google 账号的相关信息(如 Google 账号的登录邮箱、用户昵称等);第二种情况是 Third-Party App Account Access,这种情况比第一种情况存在更大的安全问题,这种情况下第三方应用可以以用户的身份访问 Google 提供的一些 API,获取甚至修改用户的日程等数据或者以用户的身份发送邮件。

问卷二

第二个问卷抽取拥有 Google 账号及 Gmail 邮箱的参与者,通过安装扩展到参与者的浏览器中以解析参与者的 Google 账号曾经的第三方登录和授权操作,并抽取操作时间最早、最新和随机的三个应用,让参与者根据解析结果,回忆登录和授权发生的时间并考虑他们是否需要保留这些第三方登录,之后还调查了参与者想要 Google 提供关于曾经的登录和授权操作的其他信息。

调查结果

G.O.S.S.I.P 阅读推荐 2022-07-15

问卷一的结果表明,绝大多数的参与者都使用 Google 账号登录过第三方应用或服务,但只有半数的参与者确定自己授权过第三方应用使用 Google 账号的 API

G.O.S.S.I.P 阅读推荐 2022-07-15

G.O.S.S.I.P 阅读推荐 2022-07-15

根据问卷二的结果,最新授权的应用最可能是参与者想取消的,而最早授权的应用经常被参与者使用的可能性最大

G.O.S.S.I.P 阅读推荐 2022-07-15

然而大多数参与者对这些可以读取甚至修改 Google 账号信息的权限表示并不担心或很少担心

G.O.S.S.I.P 阅读推荐 2022-07-15

大多数的参与者从来不会或很少会确认使用他们的 Google 账号登录或授权了哪些第三方应用

结果分析

作者在文章最后针对调查结果中所暴露出的问题,对第三方登录和授权的使用提出存在的几点问题并给出建议。

  1. Handling Stale Account Access(处理陈旧的账号授权)

    用户应该经常清理使用 Google 等账号登录或授权的第三方应用,对不再使用的应用应及时停止授权。

    服务提供商应经常通过邮件等方式提醒用户授权过的应用,并采用每隔一段时间需要重新授权的方式防止授权被滥用。

  2. Cascading Removal(层进式删除)

    许多参与者表示,当他们删除手机上的应用时,他们认为登录或授权已经被移除了。

    因此当登录或授权的第三方应用被删除时,服务提供商应及时提醒用户取消授权。

  3. All Or Nothing Permissions(粗粒度权限授权)

    现在 Google 使用的授权策略,在授权之后不能修改所授予的权限,只能整体保留或取消。

  4. Trust Transference(信任转移)

    第三方应用使用 Google 账号登录,可能会让使用者认为应用与 Google 之间存在某种联系,将对 Google 的信任错误地转移到第三方应用上。

  5. Improving App Transparency Tool(改进隐私设置)

    Google 等服务提供商应提供给使用者控制自己的哪些数据可以被第三方应用获取而哪些不能被获取的功能,对隐私数据进行细化设置。

论文PDF:
https://www.usenix.org/system/files/sec22summer_balash.pdf


原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-07-15

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月17日03:11:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   G.O.S.S.I.P 阅读推荐 2022-07-15http://cn-sec.com/archives/1180666.html

发表评论

匿名网友 填写信息