Os pesquisadores de segurança cibernética descobriram vulnerabilidades nos sistemas de back-end que alimentam conteúdo e publicidade para aplicativos de smartphone por meio de uma rede de servidores baseados em nuvem que a maioria dos usuários provavelmente nem sabe que existe.

Em pesquisa a ser relatada em 15 de agosto no Simpósio de Segurança USENIX 2019, pesquisadores do Instituto de Tecnologia da Geórgia e da Universidade Estadual de Ohio identificaram mais de 1, 600 vulnerabilidades no ecossistema de suporte por trás dos 5 principais, 000 aplicativos gratuitos disponíveis na Google Play Store. As vulnerabilidades, afetando várias categorias de aplicativos, pode permitir que hackers invadam bancos de dados que incluem informações pessoais - e talvez em dispositivos móveis de usuários.

Para ajudar os desenvolvedores a melhorar a segurança de seus aplicativos móveis, os pesquisadores criaram um sistema automatizado chamado SkyWalker para examinar os servidores em nuvem e os sistemas de biblioteca de software. SkyWalker pode examinar a segurança dos servidores que suportam aplicativos móveis, que geralmente são operados por serviços de hospedagem em nuvem, em vez de desenvolvedores de aplicativos individuais.

"Muitas pessoas podem se surpreender ao saber que seus aplicativos de telefone estão se comunicando não apenas com um, mas provavelmente dezenas ou mesmo centenas de servidores na nuvem, "disse Brendan Saltaformaggio, professor assistente na Escola de Engenharia Elétrica e da Computação da Georgia Tech. "Os usuários não sabem que estão se comunicando com esses servidores porque apenas os aplicativos interagem com eles e o fazem em segundo plano. Até agora, aquele tem sido um ponto cego onde ninguém procurava vulnerabilidades. "

O Escritório de Pesquisa Científica da Força Aérea e a Fundação Nacional de Ciência apoiaram a pesquisa.

Em seu estudo, os pesquisadores descobriram 983 instâncias de vulnerabilidades conhecidas e outras 655 instâncias de vulnerabilidades de dia zero abrangendo as camadas de software - sistemas operacionais, serviços de software, módulos de comunicação e aplicativos da web - dos sistemas baseados em nuvem que suportam os aplicativos. Os pesquisadores ainda estão investigando se os invasores podem entrar em dispositivos móveis individuais conectados a servidores vulneráveis.

“Essas vulnerabilidades afetam os servidores que estão na nuvem, e uma vez que um invasor entra no servidor, há muitas maneiras de atacar, "Saltaformaggio disse." É uma questão totalmente nova se eles podem ou não pular do servidor para o dispositivo de um usuário, mas nossa pesquisa preliminar sobre isso é muito preocupante. "

Os pesquisadores identificaram três tipos de ataque que podem ser feitos nos servidores de back-end:injeção de SQL, Entidade externa XML e script entre sites, explicou Omar Alrawi, um assistente de pesquisa graduado da Georgia Tech e co-autor com Chaoshun Zuo no estado de Ohio. Ao assumir o controle dessas máquinas na nuvem, invasores podem obter acesso a dados pessoais, excluir ou alterar informações ou mesmo redirecionar transações financeiras para depositar fundos em suas próprias contas.

Para estudar o sistema, Alrawi e Zuo executaram aplicativos em um ambiente controlado em um dispositivo móvel conectado a servidores de back-end. Eles então observaram as comunicações entre o dispositivo e os servidores, e repetiu o processo para todos os aplicativos estudados.

“Descobrimos que muitos aplicativos não criptografam as comunicações entre o aplicativo móvel e o serviço em nuvem, portanto, um invasor que está entre os dois pontos ou na mesma rede que o celular pode obter informações sobre o usuário - sua localização e nome de usuário - e potencialmente executar redefinições de senha, "Alrawi disse.

As vulnerabilidades não eram fáceis de detectar. "Você tem que entender o contexto pelo qual o aplicativo se comunica com o servidor em nuvem, ", disse ele." Esses são bugs muito profundos que não podem ser identificados simplesmente escaneando e usando ferramentas tradicionais que são usadas para segurança de aplicativos da web. "

Os operadores de sistemas vulneráveis ​​foram notificados dos resultados. As preocupações sobre quem é responsável por proteger esses servidores de back-end é um dos problemas que surgiram no estudo.

"Na verdade, é um problema significativo por causa de quantos desenvolvedores de software diferentes podem ter suas mãos na construção desses servidores em nuvem, Saltaformaggio disse. “Nem sempre está claro quem é o responsável por fazer o patching e quem é o responsável pelas vulnerabilidades. É difícil rastrear essas vulnerabilidades, mas também é difícil corrigi-los. "

Para evitar que os desenvolvedores de aplicativos tenham que fazer a pesquisa de segurança que fizeram, os pesquisadores estão oferecendo SkyWalker, um pipeline de análise para estudar back-ends móveis.

"SkyWalker observará como o aplicativo se comunica com os servidores em nuvem, e então tentará se comunicar com os servidores para encontrar vulnerabilidades, "disse Alrawi." Esta informação pode dar a um desenvolvedor de aplicativos um alerta sobre possíveis problemas antes de tornar seu aplicativo público. "

Os pesquisadores estudaram apenas aplicativos na Google Play Store. Mas os aplicativos projetados para iOS podem compartilhar os mesmos sistemas de back-end.

"Esses servidores fornecem serviços de back-end para aplicativos móveis que qualquer dispositivo pode usar, "Alrawi disse." Esses serviços em nuvem são componentes essenciais de aplicativos móveis modernos. Eles fazem parte do mundo sempre conectado. "

Para o futuro, os pesquisadores esperam estudar como as vulnerabilidades podem afetar os usuários de smartphones, e para verificar se os problemas identificados foram resolvidos.

"Continuaremos fazendo esses tipos de estudos e os revisitaremos mais tarde para ver como o cenário de ataque melhorou, "disse Saltaformaggio." Continuaremos procurando por mais pontos cegos que precisam ser estudados. No novo mundo dos smartphones e aplicativos móveis, existem problemas únicos que precisam ser erradicados. "