Cloudové back-end služby ohrožují mobilní aplikace

cloud security CBNN

Podle informací vyplývajících z výzkumu Georgia Institute of Technology a Ohio State University ohrožují cloudové back-end služby mobilní aplikace. I když si vývojáři aplikací dávají pozor na vlastní kód a online služby, které používají, zavádějí do mobilních aplikací pravidelně zranitelnosti.

Výzkum zahrnoval testování 5000 nejčastěji využívaných aplikací v Google Play Store, přičemž se zjistilo, že se používali na 6869 serverových sítích po celém světě. Nalezeno bylo celkem 1638 zranitelností, z nichž 655 nebylo uvedeno v národní databázi chyb zabezpečení. Jednalo se např. vsunování kódu přes neošetřený vstup a změnu SQL příkazu (SQL injection), skriptování mezi weby a externí útoky entit XML. Některé ze zranitelných aplikací měly prý více než 50 milionů instalací.

Mobilní aplikace přistupují k back-end službám prostřednictvím softwarových vývojových dat (SDK) třetích stran a přes rozhraní API. Vývojáři některé z nich používají explicitně, ale mnoho dalších je skryto v importovaných knihovnách třetích stran. Aplikace, které tyto služby používají, s nimi komunikují, aniž by tato komunikace byla vidět. Výsledkem je, že uživatelé nevědí, co služby dělají, ani přesně s kterými servery jejich telefony mluví, když jejich aplikace načítají obsah a reklamy.

„Údržba a zabezpečení cloudových back-end služeb je vzhledem k jejich složitosti poměrně náročná. Vývojáři mobilních aplikací proto často při výběru cloudové infrastruktury a vytváření nebo pronájmu těchto backendů ignorují bezpečnostní postupy,“ uvedli výzkumníci. „Tím se otevírají aplikace dalším zranitelnostem, které by mohly ohrozit lokálně spuštěný kód nebo vést k úniku uživatelských dat data. Takovým případem bylo např. napadení webu British Airways, který útočníkům umožnil ukrást data z aplikace.“

Výzkumníci aplikace skenovali pomocí nástroje SkyWalker, který by měl být brzy dostupný pro vývojáře aplikací, aby mohli auditovat cloudové nástroje, které zabudují do svých aplikací.

Zdroj: infosecurity-magazine.com

Obrázek: macrovector_official / Freepik

Související články

Leave a Comment