OAuth je otvoreni standard koji koristi mnoštvo internetskih odredišta i aplikacija kako bi omogućili prijavu korisnika na neki treći servis ili app. Najpoznatiji primjeri su Google, Facebook i Twitter. Tipka SSO (Single Sign On) osigurava pristup informacijama korisničkog računa, a mnogi internauti to su već jasno vidjeli kada bi npr. poželjeli povezati neki servis s Facebookom. Sustav se čini izvrsnim jer korisnik ne treba pamtiti gomilu dodatnih lozinki, a lako je ovjeriti stvari preko postojećeg računa.

Problem u svijetu mobilnih aplikacija leži u tom što OAuth 2.0 postoji od listopada 2012. godine i jednostavno nije namijenjen takvom korištenju. Mnogi su stoga implementirali OAuth vlastitim metodama, bez savjeta o tome kako se brinuti o sigurnosti. Uglavnom, takvo što je stvorilo ranjivost pa napadač može presresti podatke i izmijeniti ih, a da pritom niti jedna od strana u komunikaciji nije svjesna da se dogodila ta izmjena. U slučaju da je ovaj man-in-the-middle napad bio uspješan, korisnik je zapravo potpuno otvorio svoj račun napadaču - svim informacijama i podacima na njemu sada može raspolagati kriminalac.

Sigurnosni stručnjaci otkrivaju kako je 41,21 posto od 600 najpopularnijih aplikacija koje podržavaju SSO na Google Play Storeu podložno man-in-the-middle napadima. Svoje su istraživanje proveli na platformi Android, no vjeruju da se slična stvar može izvesti i na iOS-u.

Jasno, dvojac je upozorio Google i Facebook, baš kao i druge pružatelje mogućnosti SSO-a, na ovu ranjivost, no dok se ne zakrpaju sve aplikacije proći će mnogo vremena. Za sada je je zato najbolje izbjegavati SSO te koristiti zasebne i dobro zaštićene korisničke račune.

Više tehničkih detalja o ovoj sigurnosnoj rupi moguće je naći na MakeUseOf.com