Smartphone-applicatie met een back-coded, wat kan leiden tot een ernstige kwetsbaarheid.
Een groot aantal veelzijdige toepassingen, waaronder de meest voorkomende, actualiseren cloudgebaseerde back-end-administraties op een manier die iedereen de kans geeft om toegang te krijgen tot een groot aantal delicate records die door klanten zijn gemaakt, zoals blijkt uit een laat onderzoek. Het onderzoek werd uitgevoerd door analisten van de Technische Universiteit en het Fraunhofer Instituut voor Veilige Informatie Technologie in Darmstadt, Duitsland, en de resultaten werden vrijdag gepresenteerd tijdens de Black Hat Europe veiligheidsbijeenkomst in Amsterdam.
Het richtte zich op applicaties die gebruikmaken van Backend-as-a-Service (BaaS)-systemen van leveranciers zoals door Facebook geclaimde Parse, CloudMine of Amazon Web Services. BaaS-structuren bieden cloudgebaseerde database-opslag, push-waarschuwing, klantorganisatie en verschillende administraties die ingenieurs ongetwijfeld in hun applicaties kunnen gebruiken. Het enige wat ingenieurs hoeven te doen is zich aan te melden bij een BaaS-leverancier, de productverbeteringseenheid (SDK) in hun applicaties te coördineren en vervolgens de administratie te gebruiken via eenvoudige applicatieprogrammeerinterfaces (API’s).
Verouderde applicatie-kwetsbaarheid om binnen een seconde te hacken
Rekening houdend met het einddoel om te zien hoe het probleem over de hele linie was, hebben de specialisten een apparaat gefabriceerd dat zowel statisch als elementonderzoek gebruikt om te onderscheiden welke BaaS-leverancier door een applicatie wordt gebruikt en om de BaaS-toegangssleutels ervan te scheiden, ongeacht de mogelijkheid dat ze verward of bedacht zijn tijdens runtime. Ze voerden hun instrument uit tegen meer dan twee miljoen Android- en iOS-applicaties en verwijderden 1.000 back-endkwalificaties en gerelateerde databasetabelnamen. Een aanzienlijk deel van die certificeringen werd hergebruikt in verschillende applicaties van dezelfde ontwerper en gaven in totaal toegang tot meer dan 18,5 miljoen records met 56 miljoen informatiedingen.
De records omvatten fender bender-gegevens, klantspecifieke gebiedsinformatie, verjaardagen, contactgegevens, telefoonnummers, foto’s, legitieme e-maillocaties, koopinformatie, privéberichten, informatie over de ontwikkeling van kinderen en zelfs volledige serverback-ups. Sommige BaaS-leveranciers, vergelijkbaar met Amazon en Parse, bieden meer aangedreven toegangscontrole en de capaciteit om individuele applicatieclients te verifiëren bij de back-endadministraties in plaats van de hele applicatie. Deze kunnen echter moeilijk te realiseren zijn.
Lees ook:
-
Hacker Group heeft het geheime Bitcoin-adres van ISIS onthuld met $ 3 miljoen,
-
Een hacktool kan al uw wachtwoorden van KeePass stelen,
- China arresteert 900 hackers bij online hacken
Google, Apple en de BaaS-leveranciers zijn sinds april over de kwestie bereikt en hebben zo een deel van de ontwerpers op de hoogte gebracht wiens applicaties werden beïnvloed. Hoe het ook zij, vanaf 12 november was de toegang tot meer dan 52 miljoen informatiedingen nog steeds openlijk toegankelijk met de ongedekte accreditaties, aldus de wetenschappers. Een deel van deze informatie bevindt zich in het ongewisse, omdat de toepassingen die het hebben gemaakt niet eens meer bestaan ​​omdat hun ingenieurs doorgingen met andere dingen. Dit suggereert dat ontwerpers het ofwel niet kunnen schelen of niet weten hoe ze het probleem kunnen veranderen.