|
|
數(shù)以百萬計(jì)的敏感的移動(dòng)應(yīng)用程序公開的記錄泄漏后端憑證����。灰鴿子下載
齊格弗里德Rasthofer(左)和史蒂文醫(yī)生(右)出席在阿姆斯特丹的歐洲的黑帽安全會(huì)議11月13日,2015年。
2.jpg (17.24 KB, 下載次數(shù): 442)
下載附件
2015-11-17 11:47 上傳
開發(fā)人員已經(jīng)硬編碼的后端服務(wù)的憑證到成千上萬的手機(jī)應(yīng)用程序,研究人員發(fā)現(xiàn)
成千上萬的移動(dòng)應(yīng)用程序,包括受歡迎的,實(shí)現(xiàn)云計(jì)算,后端服務(wù),允許任何人訪問記錄由數(shù)以百萬計(jì)的敏感用戶,根據(jù)最近的一項(xiàng)研究����。
分析是由技術(shù)大學(xué)和弗勞恩霍夫研究所的研究人員對(duì)安全信息技術(shù)在達(dá)姆施塔特,德國,結(jié)果在周五的黑色的帽子在阿姆斯特丹的歐洲安全會(huì)議。它使用Backend-as-a-Service目標(biāo)應(yīng)用程序(老板)框架從提供者Facebook-owned解析,CloudMine或Amazon Web服務(wù)����。
老板框架提供基于云的數(shù)據(jù)庫存儲(chǔ),推送通知、用戶管理等服務(wù),開發(fā)人員可以很容易地在他們的應(yīng)用程序中使用����。
他們的目標(biāo)是最小化所需的知識(shí)來維護(hù)應(yīng)用程序的后端服務(wù)器。
所有開發(fā)人員需要做的就是注冊(cè)與主人提供者,整合其軟件開發(fā)工具包(SDK)在他們的應(yīng)用程序,然后使用其服務(wù)通過簡單的應(yīng)用程序編程接口(api)����。
研究人員觀察了開發(fā)人員如何使用api和發(fā)現(xiàn),他們中的許多人包括他們的主要老板訪問鍵在他們的應(yīng)用程序����。這非常危險(xiǎn)的做法,因?yàn)閼?yīng)用程序,尤其是移動(dòng),很容易逆轉(zhuǎn)等工程中提取憑證和訪問他們的后端數(shù)據(jù)庫 灰鴿子遠(yuǎn)程控制軟件����。
為了看看普遍的問題是,研究人員建立了一個(gè)工具,使用靜態(tài)和動(dòng)態(tài)分析來識(shí)別主人提供者使用一個(gè)應(yīng)用程序和提取先生訪問鍵,即使他們混淆或在運(yùn)行時(shí)計(jì)算。
他們與全球超過二百萬的Android和iOS應(yīng)用程序的工具和提取1000端憑證和相關(guān)數(shù)據(jù)庫表名����。
這些證書是在多個(gè)應(yīng)用程序中重用相同的開發(fā)人員,他們提供超過1850萬的記錄,包含5600萬個(gè)數(shù)據(jù)項(xiàng)。
研究者們實(shí)際上并沒有下載記錄,但他們能夠指望他們,找出他們的類型,只需查看數(shù)據(jù)庫表����。
車禍所包含的記錄信息,特定于用戶的位置數(shù)據(jù),生日,聯(lián)系信息,電話號(hào)碼,照片,有效的電子郵件地址,購買數(shù)據(jù),私人信息,寶貝增長數(shù)據(jù)甚至整個(gè)服務(wù)器備份。
研究人員甚至找到了一個(gè)移動(dòng)木馬,老板服務(wù)用于存儲(chǔ)數(shù)據(jù)和短信偷感染設(shè)備,隨著攻擊者自己的命令和計(jì)劃任務(wù)����。
主人憑證納入應(yīng)用程序不僅公開數(shù)據(jù)記錄盜竊,任何人,但也操縱或刪除。
攻擊者也可以使用這些數(shù)據(jù)庫中的證書存儲(chǔ)數(shù)據(jù)的真實(shí)賬戶擁有者甚至可能沒有意識(shí)到,這正在發(fā)生����。
谷歌、蘋果和主人供應(yīng)商聯(lián)系關(guān)于這個(gè)問題自4月份以來,進(jìn)而通知一些開發(fā)者的應(yīng)用程序受到影響。
然而,11月12日訪問超過5200萬個(gè)數(shù)據(jù)項(xiàng)與暴露的憑證還是免費(fèi)的,研究人員說����。
這些數(shù)據(jù)是在地獄,因?yàn)閯?chuàng)建它的應(yīng)用程序甚至不存在了,他們的開發(fā)人員轉(zhuǎn)移到其他的事情。
服務(wù)提供者不能簡單地刪除它,因?yàn)橘~戶仍然活躍����。
這意味著開發(fā)人員不關(guān)心或不知道如何解決這個(gè)問題����。
一些老板提供者,像亞馬遜和解析,提供更先進(jìn)的訪問控制和認(rèn)證的能力個(gè)人應(yīng)用程序與后端服務(wù)的用戶,而不是整個(gè)應(yīng)用。
然而這些很難實(shí)現(xiàn)����。在某些情況下,實(shí)現(xiàn)身份管理是如此的復(fù)雜,它擊敗了老板的主要目標(biāo)框架,這是簡化開發(fā)人員的工作。
難怪開發(fā)人員選擇最簡單的路線,這也是不安全的,研究人員說����。
雖然這是最終開發(fā)人員的問題,老板提供者可以改善他們的文檔,這樣即使應(yīng)用程序的開發(fā)者沒有安全教育可以理解如何使用他們的技術(shù)和風(fēng)險(xiǎn)暴露于正常如果他們不這樣做。提供商甚至能迫使開發(fā)商采取行動(dòng)通過檢測應(yīng)用程序使用根訪問鍵訪問他們的服務(wù)和顯示一個(gè)警告,研究人員說����。 |
|
加載中...
發(fā)表于 2015-11-17 11:47:43
QQ好友和群
收藏
發(fā)表于 2015-11-17 11:47:46