關於mobile做authentication security

[itdog][mobile, security, oauth][其實IoT可能都關事(唔熟)] 關於mobile做authentication security問題。 之前可能講過, but我都再講多次, 重要野唔怕一講再講。 Mobile App裝o係Mobile,你就要預左好似frontend javascript咁赤裸俾人睇晒。 因為hacker可以crack mobile =>拎到APK file =>decompile做source code 我舉個例子,mobile app用OAuth Authorization Code Grant Flow做authentication。 好多人都係咁做,好多industrial專業engineer都可能係咁做。(就算vendor如pingIdentity, 佢地個網都係咁講架ja) 但以大眾做法,我(or hacker)好似上面咁講,decompile source code,拎到你hard code既client […]

在mobile app上較OAuth/OIDC安全的authentication protocol design

前言 在上篇 OAuth/OIDC在mobile app生態上是防不勝防的security漏洞 提及到,OAuth/OIDC那種做法的flow是近乎不可能保障mobile app usage的生態安全。 其實關鍵問題在於,整個authentication過程中,是需要使用login username/password,從而無可避免被惡意agent capture credential。 Redesign? 那要根本地解決,就可能需要重新設計一個針對mobile app的authentication flow,而當中避免在login過程中需要到login credentail。其中一個可行做法,就是web-pre-authentication。 Web-pre-authentication + mobile app device one time registration 我所謂的web-pre-authentication的意思是,把authentication先在web application上安全地做好。 繼而在mobile app install的時候,就只需要做一次one time device […]

OAuth/OIDC在mobile app生態上是防不勝防的security漏洞

前言 我平時都有留意開做Single Sign On既方法,而之前有看過OAuth2同OpenID Connect(OIDC),我亦都寫過幾個post去討論。 web application上應用OAuth2/OIDC是基本上沒太大安全問題的,但在mobile app上的應用其實就可能對生態構成security漏洞。   昨天突然想通了一些東西。 mobie app與web application的分別其實在於agent。 mobie app與web application分別在於agent web application的use case,agent就是browser(e.g: firefox/chrome)。 而mobile app的use case,agent就是mobile app本身,相對地是不可靠的。   打個比喻,如果是web application的use case,而現在你使用一個極可疑的malicious browser去進行OAuth/OIDC flow。 […]