Team finder, at mange af mobilapplikationer er åbne for web-API-kapring

Smartphones, tabletter, iPads – mobile enheder er blevet uvurderlige for den daglige forbruger. Men få overvejer de sikkerhedsproblemer, der opstår, når du bruger disse enheder.

Moderne mobilapplikationer eller "apps" bruger cloud-hostede HTTP-baserede applikationsprogrammeringsgrænsefladetjenester (API) og er stærkt afhængige af internetinfrastrukturen til datakommunikation og lagring. For at forbedre ydeevnen og udnytte den mobile enheds kraft, inputvalidering og anden forretningslogik, der kræves til grænseflader med web-API-tjenester, er typisk implementeret på den mobile klient. Imidlertid, når en webserviceimplementering ikke er i stand til at replikere inputvalidering grundigt, det giver anledning til uoverensstemmelser, der kan føre til angreb, der kan kompromittere brugersikkerhed og privatliv. Det er stadig udfordrende at udvikle automatiske metoder til revision af web-API'er for sikkerhed.

Dr. Guofei Gu, lektor i Institut for Computer Science and Engineering ved Texas A&M University og direktør for SUCCESS-laboratoriet, sammen med sine ph.d.-studerende Abner Mendoza og Guangliang Yang, arbejder på at bekæmpe disse sikkerhedsproblemer.

Gu og hans team analyserede 10, 000 mobilapps og fandt ud af, at mange af dem er åbne for web-API-kapring - noget, der potentielt påvirker privatlivets fred og sikkerhed for titusinder af forretningsbrugere og forbrugere globalt.

Roden til truslen ligger i de uoverensstemmelser, der ofte findes mellem app- og serverlogik i web-API-implementeringer til mobile apps. Gus team skabte WARDroid-rammen til at gennemgå applikationer, automatisk at udføre rekognoscering og afsløre denne form for uoverensstemmelser, ved hjælp af statisk analyse sammen med hvilke typer HTTP-anmodninger, der accepteres af serveren. Når en angriber har oplysninger om, hvordan disse anmodninger ser ud, han eller hun kan udføre deres egne handlinger ved at justere nogle få parametre.

Som et simpelt eksempel, Gu forklarer i en sårbar shopping-app/server, en ondsindet bruger kunne shoppe gratis ved at gøre nogle af varepriserne i indkøbskurven som negative (ved at justere nogle HTTP-parametre), som ikke burde være tilladt af appen, men desværre kan accepteres af serveren.

Efter at have identificeret mange sårbare mobile apps/servere i den virkelige verden, der påvirker millioner af brugere, Gus team har kommunikeret med udviklerne for at hjælpe dem med at løse sårbarhederne. Deres forskningspapir blev offentliggjort i forhandlingerne fra 2018 Institute of Electrical and Electronics Engineers (IEEE) Symposium on Security &Privacy (S&P'18), en af ​​de mest prestigefyldte topkonferencer inden for cybersikkerhed.

Dette er blot et eksempel på Gus forskning om mobilappsikkerhed. På samme konference havde Gus team endnu et forskningspapir om mobilappsikkerhed, der identificerer en ny type sårbarhed kaldet Origin Stripping Vulnerabilities (OSV) i moderne hybride mobilapps og introducerer en ny afbødningsløsning OSV-Free (som udgives som open source kl. http://success.cse.tamu.edu/lab/osv-free.php).