數以百萬計的敏感的移動應用程序公開的記錄泄漏后端憑證。灰鴿子下載

admin

數以百萬計的敏感的移動應用程序公開的記錄泄漏后端憑證。灰鴿子下載
齊格弗里德Rasthofer(左)和史蒂文醫(yī)生(右)出席在阿姆斯特丹的歐洲的黑帽安全會議11月13日,2015年。

開發(fā)人員已經硬編碼的后端服務的憑證到成千上萬的手機應用程序,研究人員發(fā)現
成千上萬的移動應用程序,包括受歡迎的,實現云計算,后端服務,允許任何人訪問記錄由數以百萬計的敏感用戶,根據最近的一項研究。
分析是由技術大學和弗勞恩霍夫研究所的研究人員對安全信息技術在達姆施塔特,德國,結果在周五的黑色的帽子在阿姆斯特丹的歐洲安全會議。它使用Backend-as-a-Service目標應用程序(老板)框架從提供者Facebook-owned解析,CloudMine或Amazon Web服務。
老板框架提供基于云的數據庫存儲,推送通知、用戶管理等服務,開發(fā)人員可以很容易地在他們的應用程序中使用。
他們的目標是最小化所需的知識來維護應用程序的后端服務器。
所有開發(fā)人員需要做的就是注冊與主人提供者,整合其軟件開發(fā)工具包(SDK)在他們的應用程序,然后使用其服務通過簡單的應用程序編程接口(api)。
研究人員觀察了開發(fā)人員如何使用api和發(fā)現,他們中的許多人包括他們的主要老板訪問鍵在他們的應用程序。這非常危險的做法,因為應用程序,尤其是移動,很容易逆轉等工程中提取憑證和訪問他們的后端數據庫 灰鴿子遠程控制軟件。
為了看看普遍的問題是,研究人員建立了一個工具,使用靜態(tài)和動態(tài)分析來識別主人提供者使用一個應用程序和提取先生訪問鍵,即使他們混淆或在運行時計算。
他們與全球超過二百萬的Android和iOS應用程序的工具和提取1000端憑證和相關數據庫表名。
這些證書是在多個應用程序中重用相同的開發(fā)人員,他們提供超過1850萬的記錄,包含5600萬個數據項。
研究者們實際上并沒有下載記錄,但他們能夠指望他們,找出他們的類型,只需查看數據庫表。
車禍所包含的記錄信息,特定于用戶的位置數據,生日,聯系信息,電話號碼,照片,有效的電子郵件地址,購買數據,私人信息,寶貝增長數據甚至整個服務器備份。
研究人員甚至找到了一個移動木馬,老板服務用于存儲數據和短信偷感染設備,隨著攻擊者自己的命令和計劃任務。
主人憑證納入應用程序不僅公開數據記錄盜竊,任何人,但也操縱或刪除。
攻擊者也可以使用這些數據庫中的證書存儲數據的真實賬戶擁有者甚至可能沒有意識到,這正在發(fā)生。
谷歌、蘋果和主人供應商聯系關于這個問題自4月份以來,進而通知一些開發(fā)者的應用程序受到影響。
然而,11月12日訪問超過5200萬個數據項與暴露的憑證還是免費的,研究人員說。
這些數據是在地獄,因為創(chuàng)建它的應用程序甚至不存在了,他們的開發(fā)人員轉移到其他的事情。
服務提供者不能簡單地刪除它,因為賬戶仍然活躍。
這意味著開發(fā)人員不關心或不知道如何解決這個問題。
一些老板提供者,像亞馬遜和解析,提供更先進的訪問控制和認證的能力個人應用程序與后端服務的用戶,而不是整個應用。
然而這些很難實現。在某些情況下,實現身份管理是如此的復雜,它擊敗了老板的主要目標框架,這是簡化開發(fā)人員的工作。
難怪開發(fā)人員選擇最簡單的路線,這也是不安全的,研究人員說。
雖然這是最終開發(fā)人員的問題,老板提供者可以改善他們的文檔,這樣即使應用程序的開發(fā)者沒有安全教育可以理解如何使用他們的技術和風險暴露于正常如果他們不這樣做。提供商甚至能迫使開發(fā)商采取行動通過檢測應用程序使用根訪問鍵訪問他們的服務和顯示一個警告,研究人員說。