热门游戏Pokémon GO可通过令牌获取用户谷歌账户的完整账户访问权限,而不需要用户许可。
前不久Pokémon GO移动应用发布后,该游戏的开发商Niantic公司被迫修复该应用的iOS版本,因为安全研究人员报告称该游戏自身会安装令牌,并获取对其谷歌账户的完全访问。虽然该App本身不能执行这种访问,但这个漏洞带来了令牌交换攻击的风险。
安全公司RedOwl Analytics首席架构师Adam Reeve称,当他使用其谷歌账户开始玩Pokémon GO时,他希望看到“该app将访问哪些数据”或者“该app将查看你的电子邮件地址和姓名”的弹出消息,但他没有看到任何这样的消息,随后在他查看该游戏访问权限时感到非常震惊,他看到“Pokémon GO可完全访问用户的谷歌账户”。
Pokémon GO允许通过Pokémon Trainer Club网站或使用谷歌账户登录;然而,Pokémon Trainer Club因大量新注册用户不堪重负,而暂停注册,让用户只有一个选择:使用谷歌账户登录。这种完整权限访问仅发生在iOS版的该应用中;Android用户没有受到影响。
Niantic承认了这个错误并解释称,尽管Pokémon GO得到了完全访问令牌权限,但该应用并不能访问所有谷歌账户信息。
“我们最近发现,iOS系统中Pokémon GO账户创建过程错误地要求用户谷歌账户的完全访问权限,”Niantic在其网站写道,“但是,Pokémon GO只会访问基本的谷歌账户信息(即用户ID和电子邮件地址),不会对其他谷歌账户信息进行访问或收集。在我们发现这个错误后,我们开始进行客户端修复,仅请求访问基本的谷歌账户信息,以及我们实际访问的数据。谷歌已经证实,Pokémon GO或Niantic没有收到或者访问其他任何信息。谷歌很快会将Pokémon GO的权限降低到Pokémon GO需要的基本配置文件数据,用户不需要亲自采取任何行动。”
Reeve最初报告称,Pokémon GO被授予的令牌可让Niantic读取用户的Gmail,作为用户发送邮件,访问和删除Google Drive中的文件。事实上,谷歌自己表示完全账户访问权限允许应用执行很多潜在危险的行为。
“当被授予完全账户访问权限时,该应用可查看和修改谷歌账户中几乎所有的信息(但它不能修改你的密码、删除你的账户或者以你的名义用谷歌钱包支付),”根据该公司的支持页称,“如果你已对不信任的或识别应用授予完全账户访问,建议你点击撤销按钮取消这种权限。”
然而,其他安全专家后来发现,虽然Pokémon GO不能读取或发送电子邮件,让该游戏只能查看基本谷歌用户信息,但该漏洞可能带来令牌交换攻击的风险。
Slack公司产品安全高级工程师Ari Rubinstein在GibHub谈到了这个漏洞,并指出这个漏洞可能用于交换令牌攻击。虽然Pokémon GO不能使用其完整账户访问权限来访问用户的Gmail和日历,Rubinstein称OAuth访问令牌可被恶意交换为另一个更强大的令牌,被称为uberauth。这将让攻击者能够打开任何谷歌服务的网络会话以及获取真正的完全账户访问权限,这给谷歌的身份验证系统带赖了重大的安全漏洞。
Rubinstein指出这种过度权限授权是Niantic和谷歌的错误,不过这个权限还没有被滥用。
“即使只是最初建议,也很难使用这种权限,因为这种使用类型不是编程的(除非有另一个隐藏的API来授予API令牌)。省略这个范围让身份验证被视为“基本用户信息”而不是“完整账户权限”,Niantic可能会更新客户端。身份验证流程很混乱,并且,谷歌应该了解,使用这个范围来登录可能让令牌被交换。在我看来,谷歌不应该将这种权限范围给予非谷歌应用。”
Niantic此前属于谷歌,去年它作为独立实体从谷歌分离出去。目前我们还不清楚Niantic如何获得这种OAuth范围以及绕过权限通知(通常应用获取完整账户权限都会有这种通知)。网络公司Trail of Bits公司首席执行官Dan Guido表示,他和安全研究人员Jay Little试图在谷歌的OAuth Playground开发者网站复制OAuth令牌的使用,但没有成功。
“这意味着OAuth Playground(谷歌用于测试其API访问的服务)无法准确复制Pokémon GO请求的权限,”Guido写道,“这可能是OAuth 1.0 API的一部分,谷歌在2012年已经将其启用,并在2015年关闭。如果是这样的话,我们无法确认为什么Pokémon GO还能够使用它。我们检查过,迁移到OAuth 2.0 API的账户无法再访问较旧的1.0 API。”
现在,Pokémon GO权限问题似乎已经得到解决。Rubinstein表示:“谷歌将重新限定令牌范围来解决令牌交换攻击的风险,Pokémon GO在未来几天应该是安全可用的。”
其他Pokémon GO的安全问题
虽然Niantic和谷歌已经修复iOS版应用的权限问题,但还有其他安全问题。网络安全公司Proofpoint发现该游戏受感染的Android版本,携带DroidJack远程访问工具。
“虽然我们还没有在实际环境中发现这种恶意Android应用程序包,但在2016年7月7日09:19:17 UTC被上传到恶意文件存储库服务,而该游戏在新西兰和澳大利亚正式发布还不到72小时。”
Proofpoint指出,由于该游戏还没有在全球范围正式推出,很多游戏玩家希望游戏在其地区发布前访问该游戏,这可能导致它们从第三方下载Android应用程序包。
与此同时,微软项目经理兼工程师Dennis Delimarsky称Pokémon GO在连接公共Wi-Fi网络时还可能遭受中间人攻击。
怎样往支付宝里充钱?
支付宝充值方式分为4种:1、开通网上银行充值(可选择14家银行),个人认为最方便的一个2、去银行办理支付宝卡通充值3、网点充值( 可分为充值码充值、网汇e充值、拉卡拉易汇卡)4、消费卡(联华OK卡)
你选择第三种方式
南京炒白银如何开户
你好,想做白银投资的,你可以做上海黄金交易所的AUTD,
黄金TD是上海黄金交易所的产品,就是黄金贵金属延期交易。 深发展银行叫聚金宝业务。
“聚金宝”个人贵金属交易业务
交易品种: Au ( T+D ) , Ag ( T+ D)
报价单位: 黄金:人民币元/克,延期黄金交易品种每手最低单位为1000克/1手
白银:人民币元/千克,延期白银交易品种每手最低单位为1000克/1手
保证金:黄金延期为15%, 白银延期为17%。(总成交金额的百分比)
交易方式: “聚金宝”交易软件,网上银行,电话银行,柜台交易。
交易时间: 早市 09:00——11:30
午市 13:30——15:30
夜市 21:00——凌晨2:30 (周5晚上无晚盘)
黄金TD现在在不少银行可以做,现在目前深发展最具有优势,手续费可以通过我们调到最低的万分之14,因为我们是深发展
的服务机构,机构号G6C8(字母为大写),填了机构号G6C8,可以享受最低手续费
万分之14,不填机构号的话手续费是万分之19,比较贵,保证金是15%,现在大多银行
都是一样。 主要是你填了机构号,不仅可以享受到手续费优惠,还可以享受到我们的服务。
黄金TD开户流程
1. 带上身份证原件去深圳发展银行柜台办理一张借记卡卡(最好是深发展金卡)。
2 .开通深发展网上银行。
3. 登陆网银开通贵金属延期交易。(填入机构号:G6C8就能享受最低手续费万分之14,
不填的话,手续费是万分之18)
开户流程有不懂的可以问我 玖月
4.开完户以后,登录深发展银行网上银行,进入下载中心(点击)——进入网上银行客户
端软件(最下方的软件)。(下载)
(下载了网银客户端以后就可以在客户端上面交易)
5. 在下载网银客户端的旁边有深发展国际信息平台(下载),(类似看盘软件)。
6. 登录贵金属交易客户端,
2种登录方式:1,交易编码。2. 银行账号(银行卡号)
进入界面
1,下单,委托/申报
AU(T+D)Ag ( T+D )
看涨:想买涨——开多仓想把买的多单卖掉——平多仓
看跌:想买跌——开空仓想把买的空单卖掉——平空仓
2. 保证金转账(出入金)
转入 (入金)
转出(出金)
3.当日数据查询
委托/申报查询
成交查询
延期持仓明细查询
保证金转账明细查询
4.历史数据查询
委托/申报查询
成交查询
延期持仓查询
库存查询
资金查询
5.风险查询
玖月黄金(小陈)
2011.04.20
投资有风险,入市须谨慎
二手房交易注意事项?
购买二手房基本注意事项如下: 一、产权清晰产权证上的房主与卖房者是否一致;搞清楚所卖房屋的性质;产权证上所确认的面积与实际面积是否相符;验证产权证的合法性与真实性。 二、与中介签订规范合同通过中介购买二手房,一般要签两个合同,即与房屋产权所有人签署的《买卖契约》,还有与中介公司签署的《房产中介合同》。 房产中介合同在法律上叫作居间合同,签署前一要审查其资格,看是否办理了工商登记手续。 二要审查对方的委托授权书,以确认对方是卖主的合法代理人。 要与中介公司签订统一规范的委托代理合同。 合同上应写明代理方式、代理报酬、代理期限与代理权限等内容,特别要注意是否盖章及写清有关日期。 三、房屋本身问题了解该房是哪年盖的,还用多久的土地使用期限;有哪些人住过,有什么用途;还有原住户在当地的信用情况;是否有欠交物业费、水电费等。 观察房屋的结构,建筑与装修材料。 看房屋的内外部结构是否被改动过;是否有私建部分;是否有占用走廊或阳台等;牵涉到阳台的面积怎么算的问题。 观察房屋的内部结构是否合理;是否适合居住;活动空间大小等。 看原房屋装修的水平、程度如何;确认房子的供电设施、供气管道、水管等是否有老化现象;电话线、宽带的安装是否完备等。 四、对于违约情况申请赔偿正常情况下,房子交接完毕,房产登记过户后当日,才应该付清全部房款。 如果不能按时交房,以及买方在未取得房地产证前,则根据情况,暂扣部分房款,不应付清全部房款。 这方面应在《房屋买卖契约》中注明暂扣多少房款的具体数字 。 因为在审批办理证件的过程中,如手续有问题,就办不了房地产证。 五、过户付款需谨慎需要找个双方都信得过的单位,如信誉较好的担保公司,等过户完成后再将房款转入卖方账户。
发表评论