Miliony wrażliwych danych odsłoniętych przez aplikacje mobilne, które wyciekają z poświadczeń back-end

Tysiące aplikacji mobilnych, w tym popularne, wdrażają usługi chmurowe i usługi zaplecza w sposób, który pozwala każdemu uzyskać dostęp do milionów wrażliwych wpisów utworzonych przez użytkowników, zgodnie z ostatnim badaniem.

Analizy dokonali naukowcy z Politechniki i Instytutu Fraunhofera ds. Bezpiecznej Technologii Informatycznej w Darmstadt, Niemcy, a wyniki zostały przedstawione w piątek o godz. konferencja bezpieczeństwa Black Hat Europe w Amsterdamie. Skierował on aplikacje korzystające z ramek Backend-as-a-Service (BaaS) od dostawców takich jak Parse, CloudMine lub Amazon Web Services firmy Facebook.

Platformy BaaS oferują przechowywanie baz danych w chmurze, powiadomienia push, administrowanie użytkownikami i inne usługi programiści mogą z łatwością korzystać z aplikacji. Ich celem jest zminimalizowanie wiedzy potrzebnej do utrzymania serwerów zaplecza aplikacji.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Wszyscy deweloperzy muszą zarejestrować się u dostawcy usługi BaaS , zintegruj swój pakiet programistyczny (SDK) w swoich aplikacjach, a następnie skorzystaj z jego usług poprzez proste interfejsy programowania aplikacji (API).

Badacze sprawdzili, w jaki sposób programiści używają interfejsów API i odkryli, że wiele z nich zawiera podstawowe klucze dostępu do systemu BaaS. ich aplikacje. Jest to bardzo niebezpieczna praktyka, ponieważ aplikacje, szczególnie te mobilne, mogą być łatwo odwrócone, aby uzyskać takie referencje i uzyskać dostęp do baz danych.

Aby zobaczyć, jak powszechny jest problem, naukowcy stworzyli narzędzie, które wykorzystuje zarówno analizę statyczną, jak i dynamiczną, aby zidentyfikować, który dostawca BaaS jest używany przez aplikację i wyodrębnić z niej klucze dostępu BaaS, nawet jeśli są one zaciemniane lub obliczane w czasie wykonywania.

Uruchomili swoje narzędzie przeciwko ponad dwóm milionom systemów Android i Aplikacje na iOS i wyodrębnione 1000 poświadczeń zaplecza i powiązanych nazw tabel bazy danych. Wiele z tych poświadczeń zostało wykorzystanych w wielu aplikacjach tego samego dewelopera iw sumie dostarczyły one dostęp do ponad 18,5 miliona rekordów zawierających 56 milionów elementów danych.

Naukowcy nie pobrali rekordów, ale byli w stanie zliczyć i dowiedzieć się, jaki jest ich typ, po prostu patrząc na tabele bazy danych. Zapisy zawierały informacje o wypadkach samochodowych, dane o lokalizacji użytkownika, daty urodzenia, dane kontaktowe, numery telefonów, zdjęcia, poprawne adresy e-mail, dane dotyczące zakupów, prywatne wiadomości, dane o rozwoju dziecka, a nawet kopie zapasowe całego serwera.

Naukowcy znaleźli nawet mobilny trojan, który używał usługi BaaS do przechowywania wiadomości SMS i danych skradzionych z zainfekowanych urządzeń, wraz z własnymi komendami i planowanymi zadaniami atakujących.

Włączenie referencji BaaS do aplikacji nie tylko naraża dane na kradzieże przez kogokolwiek, ale także do manipulacji lub usunięcia. Atakujący mogą również użyć danych uwierzytelniających do przechowywania danych w tych bazach danych na koszt właścicieli rzeczywistych kont, którzy mogą nawet nie zdawać sobie sprawy, że tak się dzieje.

Od kwietnia skontaktowano się z Google, Apple i dostawcami BaaS w sprawie tej kwestii oraz z kolei powiadomiono niektórych programistów, których aplikacje zostały dotknięte. Jednak od 12 listopada dostęp do ponad 52 milionów pozycji danych był nadal dostępny bezpłatnie z odsłoniętymi danymi uwierzytelniającymi.

Niektóre z tych danych są zawieszone, ponieważ aplikacje, które je utworzyły, nawet nie istnieją już ich programiści przestawili się na inne rzeczy. Dostawcy usług również nie mogą tego po prostu usunąć, ponieważ konta są nadal aktywne.

Sugeruje to, że deweloperzy albo nie przejmują się, albo nie wiedzą, jak rozwiązać problem.

Niektórzy dostawcy BaaS, tacy jak Amazon i Parse, oferują bardziej zaawansowaną kontrolę dostępu i możliwość uwierzytelniania poszczególnych użytkowników aplikacji za pomocą usług zaplecza zamiast całej aplikacji. Jednak mogą być trudne do wdrożenia.

W niektórych przypadkach wdrożenie takiego zarządzania tożsamością jest tak skomplikowane, że pokonuje główny cel struktur BaaS, co ma na celu uproszczenie pracy programistów.

Nic dziwnego, że programiści wybierają łatwą trasę, która jest również niepewna, Naukowcy stwierdzili:

Choć to ostatecznie jest problem twórców, dostawcy BaaS mogą udoskonalić swoją dokumentację, aby nawet twórcy aplikacji, którzy nie mają wykształcenia w zakresie bezpieczeństwa, mogli zrozumieć, jak korzystać z technologii i zagrożeń, na które są narażeni, jeśli nie robią tego. zrób to właściwie. Dostawcy mogą nawet zmusić programistów do podejmowania działań poprzez wykrywanie aplikacji, które uzyskują dostęp do swoich usług za pomocą kluczy dostępu root i wyświetlanie ostrzeżenia, stwierdzili naukowcy.