Smartphone -apps kan oprette forbindelse til sårbare backend -cloud -servere

Cybersikkerhedsforskere har opdaget sårbarheder i backend-systemer, der fodrer indhold og reklame til smartphone-applikationer via et netværk af skybaserede servere, som de fleste brugere sandsynligvis ikke engang ved eksisterer.

I forskning, der skal rapporteres 15. august på USENIX Security Symposium i 2019, forskere fra Georgia Institute of Technology og Ohio State University identificerede mere end 1, 600 sårbarheder i supportøkosystemet bag top 5, 000 gratis apps tilgængelige i Google Play Butik. Sårbarhederne, påvirker flere appkategorier, kunne give hackere mulighed for at bryde ind i databaser, der indeholder personlige oplysninger - og måske til brugernes mobile enheder.

For at hjælpe udviklere med at forbedre deres mobilapps sikkerhed, forskerne har oprettet et automatiseret system kaldet SkyWalker for at undersøge cloud -servere og softwarebibliotekssystemer. SkyWalker kan undersøge sikkerheden på de servere, der understøtter mobilapplikationer, som ofte drives af cloud hosting -tjenester frem for individuelle app -udviklere.

"Mange mennesker vil måske blive overrasket over at erfare, at deres telefonapps kommunikerer med ikke kun én, men sandsynligvis tiere eller endda hundredvis af servere i skyen, "sagde Brendan Saltaformaggio, en adjunkt ved Georgia Tech's School of Electrical and Computer Engineering. "Brugere ved ikke, at de kommunikerer med disse servere, fordi kun apps interagerer med dem, og de gør det i baggrunden. Indtil nu har det har været en blind plet, hvor ingen ledte efter sårbarheder. "

Air Force Office of Scientific Research og National Science Foundation støttede forskningen.

I deres undersøgelse, forskerne opdagede 983 tilfælde af kendte sårbarheder og yderligere 655 tilfælde af nul-dages sårbarheder, der spænder over softwarelagene-operativsystemer, softwaretjenester, kommunikationsmoduler og webapps-af de skybaserede systemer, der understøtter apps. Forskerne undersøger stadig, om angribere kunne komme ind på individuelle mobile enheder, der er forbundet til sårbare servere.

"Disse sårbarheder påvirker de servere, der er i skyen, og når en angriber kommer på serveren, der er mange måder, de kan angribe, "Sagde Saltaformaggio." Det er et helt nyt spørgsmål, om de kan hoppe fra serveren til en brugers enhed eller ej, men vores foreløbige forskning om det er meget bekymrende. "

Forskerne identificerede tre typer angreb, der kunne foretages på backend -serverne:SQL -injektion, Ekstern XML-enhed og scripting på tværs af websteder, forklarede Omar Alrawi, en forskerassistent fra Georgia Tech og co-første forfatter med Chaoshun Zuo i Ohio State. Ved at tage kontrol over disse maskiner i skyen, angribere kan få adgang til personlige data, slette eller ændre oplysninger eller endda omdirigere finansielle transaktioner for at indsætte penge på deres egne konti.

For at studere systemet, Alrawi og Zuo kørte applikationer i et kontrolleret miljø på en mobilenhed, der havde forbindelse til backend -servere. De så derefter kommunikationen mellem enheden og serverne, og gentog processen for alle de undersøgte applikationer.

"Vi fandt ud af, at mange applikationer ikke krypterer kommunikationen mellem mobilappen og skytjenesten, så en angriber, der er mellem de to punkter eller på det samme netværk som mobilen, kan få oplysninger om brugeren - deres placering og brugernavn - og potentielt udføre nulstilling af adgangskode, "Sagde Alrawi.

Sårbarhederne var ikke lette at få øje på. "Du skal forstå den kontekst, hvorigennem appen kommunikerer med cloud -serveren, "Det er meget dybe fejl, der ikke kan identificeres ved blot at scanne og bruge traditionelle værktøjer, der bruges til webapplikationssikkerhed."

Operatørerne af sårbare systemer blev underrettet om resultaterne. Bekymringer om, hvem der er ansvarlig for at sikre disse backend -servere, er et af de spørgsmål, der skal komme ud af undersøgelsen.

"Det er faktisk et væsentligt problem på grund af, hvor mange forskellige softwareudviklere der kan have deres hænder med at bygge disse cloud -servere, "Saltaformaggio sagde." Det er ikke altid klart, hvem der er ansvarlig for lappingen, og hvem der er ansvarlig for sårbarhederne. Det er svært at spore disse sårbarheder, men det er også svært at få dem lappet. "

For at redde appudviklere fra at skulle foretage den sikkerhedsundersøgelse, de lavede, forskerne tilbyder SkyWalker, en analysepipeline til undersøgelse af mobile backends.

"SkyWalker vil se, hvordan applikationen kommunikerer med disse cloud -servere, og derefter vil den forsøge at kommunikere med serverne for at finde sårbarheder, "sagde Alrawi." Disse oplysninger kan give en appudvikler et indblik i potentielle problemer, før de offentliggør deres applikation. "

Forskerne undersøgte kun applikationer i Google Play Store. Men applikationer designet til iOS kan dele de samme backend -systemer.

"Disse servere leverer backend -tjenester til mobilapps, som enhver enhed kan bruge, "Sagde Alrawi." Disse cloud -tjenester er vigtige komponenter i moderne mobilapps. De er en del af den verden, der altid er forbundet. "

For fremtiden, forskerne håber at studere, hvordan sårbarhederne kan påvirke smartphone -brugere, og for at kontrollere, om de problemer, de identificerede, er løst.

"Vi kommer til at fortsætte med den slags undersøgelser og vil se dem igen senere for at se, hvordan angrebslandskabet er blevet bedre, "sagde Saltaformaggio." Vi vil blive ved med at lede efter flere blinde pletter, der skal undersøges. I den nye verden af ​​smartphones og mobilapplikationer, der er unikke problemer, der skal rodfæstes. "