Ataki man in the middle wykorzystywane są powszechnie do kradzieży danych logowania, powstają nawet narzędzia, które automatyzują cały proces kradzieży loginu, hasła i innych składników logowania, czego przykładem jest opracowana Piotra Duszyńskiego Modlishka. Google ogłosiło jednak zmiany, które mogą skutecznie utrudnić przeprowadzanie ataków typu MITM.
Przypomnijmy mechanizm działania wspomnianej Modlishki, gdyż stanowi on dobry przykład scenariusza man in the middle. Oprogramowanie działające na komputerze ofiary pośredniczy w ruchu pomiędzy nią a formularzem logowania, np. do Facebooka. Ofiara wprowadza dane, jednocześnie pozwalając na ich przechwycenie. Możliwe jest także przejęcie drugiego składnika logowania – Modlishka dostarcza dane logowania docelowej witrynie, ta wysyła np. SMS-a z kodem, a ofiara znów podaje składnik nie stronie, lecz Modlishce.
Zobac też: Modlishka: polskie narzędzie phishingowe omija weryfikację dwustopniową
Oczywiście do przejmowania danych metodą man in the middle nie musi dochodzić wyłącznie na desktopowych przeglądarkach – równie dobrze mogą być do tego wykorzystywane mechanizmy logowania (a raczej ich podróbki) w aplikacjach mobilnych. To właśnie na tym froncie Google chce zawalczyć o bezpieczeństwo. Robi to oczywiście w swoim stylu – drastycznie ograniczając możliwości wykorzystywania dotychczasowych metod logowania i zmuszając programistów do wprowadzania zmian w swoich programach samodzielnie.
Do logowania w aplikacjach na Androidzie (ale nie tylko) często wykorzystywany jest Chrome Embedded Framework, czyli instancja Chrome’a, która wyświetla stosowny formularz, osadzona w interfejsie aplikacji. Można ją przyrównać do HTML-owej pływającej ramki. CEF może być jednak wykorzystywane jako warstwa w atakach man in the middle. Nie ma możliwości rozróżnienia logowania standardowego użytkownika od logowania się jego danymi przez atakującego.
W rezultacie Google całkowicie zablokuje możliwość logowania się za pośrednictwem osadzonych frameworków przeglądarek. Zmiany nadejdą w czerwcu i w ogromnej liczbie aplikacji uniemożliwią logowanie się via konto Google. Ich twórcom korporacja zaleca wdrożenie OAuth – otwartego standardu, który stosować można zarówno w aplikacjach mobilnych, jak i przeglądarkowych. Czy tyle wystarczy, by ochronić użytkowników przed kradzieżami ich danych i tożsamości?
Wokół standardu OAuth narosło swojego czasu sporo kontrowersji. Dość powiedzieć, że jego twórca, Eran Hammer, wycofał się z projektu i kazał wykreślić swoje nazwisko ze specyfikacji. Powodem były zmiany w OAuth 2.0 – według Hammera piętno odcisnęły wpływy branżowych korporacji. W rezultacie standard stał się „zbyt złożony, mniej interoperacyjny, mniej użyteczny, bardziej niekompletny i – co najważniejsze – mniej bezpieczny”, jak pisał Hammer we wpisie zatytułowanym „Oauth 2.0 i droga do piekła” w lipcu 2012 roku.
