|
数以百万计的敏感的移动应用程序公开的记录泄漏后端凭证。灰鸽子下载
齐格弗里德Rasthofer(左)和史蒂文医生(右)出席在阿姆斯特丹的欧洲的黑帽安全会议11月13日,2015年。
开发人员已经硬编码的后端服务的凭证到成千上万的手机应用程序,研究人员发现
成千上万的移动应用程序,包括受欢迎的,实现云计算,后端服务,允许任何人访问记录由数以百万计的敏感用户,根据最近的一项研究。
分析是由技术大学和弗劳恩霍夫研究所的研究人员对安全信息技术在达姆施塔特,德国,结果在周五的黑色的帽子在阿姆斯特丹的欧洲安全会议。它使用Backend-as-a-Service目标应用程序(老板)框架从提供者Facebook-owned解析,CloudMine或Amazon Web服务。
老板框架提供基于云的数据库存储,推送通知、用户管理等服务,开发人员可以很容易地在他们的应用程序中使用。
他们的目标是最小化所需的知识来维护应用程序的后端服务器。
所有开发人员需要做的就是注册与主人提供者,整合其软件开发工具包(SDK)在他们的应用程序,然后使用其服务通过简单的应用程序编程接口(api)。
研究人员观察了开发人员如何使用api和发现,他们中的许多人包括他们的主要老板访问键在他们的应用程序。这非常危险的做法,因为应用程序,尤其是移动,很容易逆转等工程中提取凭证和访问他们的后端数据库 灰鸽子远程控制软件。
为了看看普遍的问题是,研究人员建立了一个工具,使用静态和动态分析来识别主人提供者使用一个应用程序和提取先生访问键,即使他们混淆或在运行时计算。
他们与全球超过二百万的Android和iOS应用程序的工具和提取1000端凭证和相关数据库表名。
这些证书是在多个应用程序中重用相同的开发人员,他们提供超过1850万的记录,包含5600万个数据项。
研究者们实际上并没有下载记录,但他们能够指望他们,找出他们的类型,只需查看数据库表。
车祸所包含的记录信息,特定于用户的位置数据,生日,联系信息,电话号码,照片,有效的电子邮件地址,购买数据,私人信息,宝贝增长数据甚至整个服务器备份。
研究人员甚至找到了一个移动木马,老板服务用于存储数据和短信偷感染设备,随着攻击者自己的命令和计划任务。
主人凭证纳入应用程序不仅公开数据记录盗窃,任何人,但也操纵或删除。
攻击者也可以使用这些数据库中的证书存储数据的真实账户拥有者甚至可能没有意识到,这正在发生。
谷歌、苹果和主人供应商联系关于这个问题自4月份以来,进而通知一些开发者的应用程序受到影响。
然而,11月12日访问超过5200万个数据项与暴露的凭证还是免费的,研究人员说。
这些数据是在地狱,因为创建它的应用程序甚至不存在了,他们的开发人员转移到其他的事情。
服务提供者不能简单地删除它,因为账户仍然活跃。
这意味着开发人员不关心或不知道如何解决这个问题。
一些老板提供者,像亚马逊和解析,提供更先进的访问控制和认证的能力个人应用程序与后端服务的用户,而不是整个应用。
然而这些很难实现。在某些情况下,实现身份管理是如此的复杂,它击败了老板的主要目标框架,这是简化开发人员的工作。
难怪开发人员选择最简单的路线,这也是不安全的,研究人员说。
虽然这是最终开发人员的问题,老板提供者可以改善他们的文档,这样即使应用程序的开发者没有安全教育可以理解如何使用他们的技术和风险暴露于正常如果他们不这样做。提供商甚至能迫使开发商采取行动通过检测应用程序使用根访问键访问他们的服务和显示一个警告,研究人员说。 |
|