심각한 취약점으로 이어질 수 있는 백 코딩된 스마트폰 애플리케이션.
최근 연구에서 알 수 있듯이 널리 사용되는 애플리케이션을 포함하여 수많은 다용도 애플리케이션이 클라우드 기반 백엔드 관리를 구현하여 누구에게나 클라이언트가 만든 수많은 섬세한 기록에 접근할 수 있는 기회를 제공합니다. 이 시험은 독일 다름슈타트에 있는 Technical University와 Fraunhofer Institute for Secure Information Technology의 분석가가 수행했으며 결과는 금요일 암스테르담에서 열린 Black Hat Europe 보안 모임에서 소개되었습니다.
Facebook이 주장하는 Parse, CloudMine 또는 Amazon Web Services와 같은 공급업체의 BaaS(Backend-as-a-Service) 시스템을 활용하는 애플리케이션에 중점을 두었습니다. BaaS 구조는 엔지니어가 의심할 여지 없이 애플리케이션에서 사용할 수 있는 클라우드 기반 데이터베이스 비축, 푸시 경고, 클라이언트 조직 및 다양한 관리 기능을 제공합니다. 엔지니어는 BaaS 공급업체에 등록하고 애플리케이션에서 해당 제품 개선 단위(SDK)를 조정한 다음 간단한 API(애플리케이션 프로그래밍 인터페이스)를 통해 관리를 활용하기만 하면 됩니다.
1초 이내에 해킹되는 오래된 애플리케이션 취약성
문제가 전반적으로 어떻게 발생했는지 파악하려는 최종 목표를 염두에 두고 전문가들은 정적 및 요소 검사를 모두 사용하여 애플리케이션에서 사용하는 BaaS 공급업체를 구별하고 BaaS 액세스 키를 런타임에 혼란스럽거나 생각할 가능성이 있습니다. 그들은 200만 개 이상의 Android 및 iOS 애플리케이션에 대해 도구를 실행하고 1,000개의 백엔드 자격 및 관련 데이터베이스 테이블 이름을 제거했습니다. 이러한 인증 중 상당수가 동일한 설계자의 다른 응용 프로그램에서 재사용되었으며 전체적으로 5,600만 개의 정보가 포함된 1,850만 개 이상의 레코드에 대한 액세스 권한을 부여했습니다.
기록에는 펜더 벤더 데이터, 클라이언트 특정 영역 정보, 생일, 연락처 데이터, 전화번호, 사진, 합법적인 이메일 위치, 구매 정보, 개인 메시지, 아동 발달 정보 및 전체 서버 백업이 포함됩니다. Amazon 및 Parse는 전체 애플리케이션이 아닌 백엔드 관리를 통해 개별 애플리케이션 클라이언트를 검증할 수 있는 보다 강력한 액세스 제어 및 기능을 제공합니다. 그러나 이것들은 실현하기 어려울 수 있습니다.
또한 읽기:
-
해커 그룹, 300만 달러의 ISIS 비밀 비트코인 주소 공개,
-
해킹 도구는 KeePass에서 모든 암호를 훔칠 수 있습니다.
- 중국, 온라인 해킹 단속으로 해커 900명 체포
Google, Apple 및 BaaS 공급업체는 4월부터 이 문제에 대해 연락을 취했고, 따라서 응용 프로그램이 영향을 받은 일부 설계자에게 알렸습니다. 과학자들은 11월 12일 현재 5,200만 개 이상의 정보에 대한 액세스가 아직 공개되지 않은 인증을 통해 공개적으로 액세스할 수 있다고 말했습니다. 이 정보 중 일부는 정보를 제공한 응용 프로그램이 엔지니어가 다른 작업을 계속 진행하면서 더 이상 존재하지도 않는다는 이유로 불확실한 상태에 있습니다. 이것은 디자이너가 문제를 변경하는 방법을 모르거나 덜 신경 쓸 수 없다는 것을 제안합니다.