OAuth协议安全分析 ——以Android平台为例 王 晖 @上海交通大学 LoCCS GoSSIP 关于我 • GoSSIP成员 • • • • 研究方向：协议分析、应用密码学、Android安全 微博 @GoSSIP_SJTU www.securitygossip.com 乌云实验室高级研究员 • 专栏：SSL协议安全科普系列 OAUTH协议安全分析 ——以Android平台为例 • 什么是OAuth协议？ • 跟我们有什么关系？ 什么是OAUTH?  开放的授权标准（Open Authorization）  允许用户授权第三方网站访问他们存储在另 外的服务提供者上的信息  不需要将用户名和密码提供给第三方网站或 分享他们数据的所有内容  2007年，OAuth 1.0  2012年，OAuth 2.0  授权 & 认证 OAUTH跟我们有什么关系? 部分OAUTH服务提供商 服务提供商 OAuth协议版本 新浪微博 2.0 腾讯QQ 2.0 微信 2.0 支付宝 2.0 Facebook 2.0 Google 2.0 Twitter 2.0 OAUTH不安全实现会怎样？——微信红包随便领  微信领红包URL https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx6fa7e3bab7e1541 5&redirect_uri=https://wxapp.tenpay.com/v2/hybrid/www/weixin/hongbao/receive. shtml?showwxpaytitle=1&sendid=1000000000201501092047478999&channelid=1 &msgtype=1&from=singlemessage&isappinstalled=0&us=***********&ver=1&sign =***********&clientversion=26000238&devicetype=android19&pass_ticket=***********&timeguid=14207873040300.4459930493030697&respo nse_type=code&scope=snsapi_base&state=STATE&connect_redirect=1#wechat_red irect  WooYun-2015-90898 OAUTH不安全实现会怎样？——微信红包随便领 大纲  Android平台OAuth实现的安全问题  OAuth协议简介  Android平台中OAuth实现的特性  对Android平台中OAuth实现的安全审计  案例分析 ANDROID平台OAUTH实现的安全问题  国内15家主流OAUTH服务提供商，14家存在至少一种安全问题 国内主流服务提供商OAUTH实现特点概况 ANDROID平台OAUTH实现的安全问题  应用市场TOP 100的应用，84个使用OAUTH，81个存在安全问题 主要漏洞类型  不安全的用户代理 （V1）  缺乏协议参与者身份认证 （V2）  不安全的信息传输 （V3）  不安全的秘密管理 （V4）  不正确的服务器端参数校验 （V5）  不正确的认证凭据 （V6） TOP 100 APP使用OAUTH服务授权和认证数量 TOP 100 APP使用OAUTH认证用户方式  分析了4,151个应用，1,372个使用了OAUTH，86.4%存在安全问题 OAUTH协议简介 服务提供方 服务依赖方 用户  服务依赖方：Relying Party (RP) ，也称为Consumer  服务提供方：Service Provider (SP) ，也称为Identity Provider/ Authorization Server & Resource Server OAUTH协议的工作原理 OAUTH抽象工作流