Crédito CC0:domínio público
Smartphones, tablets, iPads - os dispositivos móveis tornaram-se inestimáveis para o consumidor diário. Mas poucos consideram os problemas de segurança que ocorrem ao usar esses dispositivos.
Os aplicativos móveis modernos ou "aplicativos" usam serviços de interface de programação de aplicativos (API) baseados em HTTP hospedados na nuvem e dependem fortemente da infraestrutura da Internet para comunicação e armazenamento de dados. Para melhorar o desempenho e aproveitar o poder do dispositivo móvel, a validação de entrada e outras lógicas de negócios necessárias para fazer a interface com os serviços da API da web são geralmente implementadas no cliente móvel. Contudo, quando uma implementação de serviço da web falha em replicar completamente a validação de entrada, isso dá origem a inconsistências que podem levar a ataques que podem comprometer a segurança e a privacidade do usuário. O desenvolvimento de métodos automáticos de auditoria de APIs da web para segurança continua um desafio.
Dr. Guofei Gu, professor associado do Departamento de Ciência da Computação e Engenharia da Texas A&M University e diretor do laboratório SUCCESS, junto com seus alunos de doutorado Abner Mendoza e Guangliang Yang, estão trabalhando para combater esses problemas de segurança.
Gu e sua equipe analisaram 10, 000 aplicativos móveis e descobriram que muitos deles estão abertos ao sequestro de API da web - algo que potencialmente afeta a privacidade e a segurança de dezenas de milhões de usuários de negócios e consumidores em todo o mundo.
A raiz da ameaça está nas inconsistências que costumam ser encontradas entre a lógica do aplicativo e do servidor em implementações de API da web para aplicativos móveis. A equipe de Gu criou a estrutura WARDroid para rastrear aplicativos, realizando automaticamente o reconhecimento e descobrindo esses tipos de inconsistências, usando análise estática junto com quais tipos de solicitações HTTP são aceitas pelo servidor. Assim que um invasor tiver as informações sobre a aparência dessas solicitações, ele ou ela pode realizar suas próprias ações ajustando alguns parâmetros.
Como um exemplo simples, Gu explica em um aplicativo / servidor de compras vulnerável, um usuário malicioso pode comprar de graça tornando alguns dos preços dos itens no carrinho de compras como negativos (com ajustes de alguns parâmetros HTTP), que não deveria ser permitido pelo aplicativo, mas infelizmente pode ser aceito pelo servidor.
Depois de identificar muitos aplicativos / servidores móveis do mundo real vulneráveis que afetam milhões de usuários, A equipe de Gu se comunicou com os desenvolvedores para ajudá-los a corrigir as vulnerabilidades. O artigo de pesquisa foi publicado nos anais do Simpósio sobre Segurança e Privacidade do Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) 2018 (S &P'18), uma das conferências de maior prestígio em segurança cibernética.
Este é apenas um exemplo da pesquisa de Gu sobre segurança de aplicativos móveis. Na mesma conferência, a equipe de Gu teve outro artigo de pesquisa sobre segurança de aplicativos móveis que identifica um novo tipo de vulnerabilidade chamada Origin Stripping Vulnerabilities (OSV) em aplicativos móveis híbridos modernos e apresenta uma nova solução de mitigação OSV-Free (que é lançada como código aberto em http://success.cse.tamu.edu/lab/osv-free.php).