Vulnérabilité des applications obsolètes au piratage en une seconde

0
8

Application smartphone ayant un back-codé, ce qui peut conduire à une grave vulnérabilité.

Un grand nombre d’applications polyvalentes, y compris les plus répandues, actualisent les administrations back-end basées sur le cloud d’une manière qui donne à quiconque la possibilité d’accéder à un grand nombre d’enregistrements délicats créés par les clients, comme l’indique une étude récente. L’examen a été effectué par des analystes de l’Université technique et de l’Institut Fraunhofer pour les technologies de l’information sécurisées à Darmstadt, en Allemagne, et les résultats ont été présentés vendredi lors de la réunion de sécurité Black Hat Europe à Amsterdam.

Il s’est concentré sur les applications qui utilisent des systèmes Backend-as-a-Service (BaaS) de fournisseurs tels que Parse, CloudMine ou Amazon Web Services revendiqués par Facebook. Les structures BaaS offrent un stockage de base de données basé sur le cloud, un avertissement push, une organisation client et différentes administrations que les ingénieurs peuvent sans aucun doute utiliser dans leurs applications. Il suffit aux ingénieurs de s’inscrire auprès d’un fournisseur BaaS, de coordonner son unité d’amélioration des produits (SDK) dans leurs applications, puis d’utiliser ses administrations via des interfaces de programmation d’applications (API) simples.

Vulnérabilité des applications obsolètes au piratage en une seconde

Gardant à l’esprit l’objectif final de percevoir à quel point le problème était généralisé, les spécialistes ont fabriqué un appareil qui utilise à la fois un examen statique et un examen des éléments pour distinguer quel fournisseur BaaS est utilisé par une application et pour séparer les clés d’accès BaaS de celui-ci, indépendamment de la possibilité qu’ils soient confus ou figurés au moment de l’exécution. Ils ont exécuté leur instrument sur plus de deux millions d’applications Android et iOS et ont supprimé 1 000 qualifications back-end et les noms de table de base de données associés. Un grand nombre de ces certifications ont été réutilisées dans différentes applications du même concepteur et, au total, elles ont donné accès à plus de 18,5 millions d’enregistrements contenant 56 millions d’éléments d’information.

Les enregistrements comprenaient des données de fender bender, des informations sur la zone particulière du client, des anniversaires, des données de contact, des numéros de téléphone, des images, des emplacements de courrier électronique légitimes, des informations d’achat, des messages privés, des informations sur le développement de l’enfant et même des sauvegardes complètes du serveur. Certains fournisseurs BaaS, comme Amazon et Parse, offre un contrôle d’accès plus poussé et la capacité de vérifier les clients d’application individuels avec les administrations back-end plutôt que l’application entière. Cependant, ceux-ci peuvent être difficiles à réaliser.

Lire aussi :

  • Hacker Group a révélé l’adresse Bitcoin secrète d’ISIS ayant 3 millions de dollars,

  • Un outil de piratage peut voler tous vos mots de passe à KeePass,

  • La Chine arrête 900 pirates informatiques dans le cadre d’une répression de piratage en ligne

Google, Apple et les fournisseurs de BaaS ont été contactés sur la question depuis avril, et ont ainsi informé une partie des concepteurs dont les candidatures ont été influencées. Quoi qu’il en soit, au 12 novembre, l’accès à plus de 52 millions d’éléments d’information était toujours ouvertement accessible avec les accréditations découvertes, ont déclaré les scientifiques. Certaines de ces informations sont dans les limbes, au motif que les applications qui les ont créées n’existent même plus car leurs ingénieurs ont procédé à des choses différentes. Cela suggère que les concepteurs s’en moquent ou ne savent pas comment modifier le problème.

LEAVE A REPLY

Please enter your comment!
Please enter your name here