| +11 голос |
|
Доктор Гуофэй Гу (Guofei Gu) с кафедры компьютерной науки и техники Техасского университета A&M, являющийся также заведующим лабораторией SUCCESS, вместе со своими сотрудниками проанализировал 10 тысяч мобильных приложений и обнаружил, что многие из них открыты для взлома web API. Такая уязвимость ставит под угрозу приватность и безопасность десятков миллионов пользователей планшетов и смартфонов во всем мире.
Проблема вызвана несоответствиями в логике прикладного и серверного ПО, часто возникающими при использовании web API в мобильных приложениях.
Команда Гу разработала фреймворк WARDroid для автоматического выявления подобных несоответствий с помощью статического анализа и проверки, какие типы HTTP-запросов принимаются сервером. Обладая этой информацией, хакер может выполнять собственные действия, изменяя несколько параметров.
В качестве примера, доктор Гу рассказал, как можно использовать такую уязвимость, для бесплатной покупки товаров онлайн. Для этого в корзине покупателя цены товаров делают отрицательными (подбором ряда параметров HTTP). Торговое приложение не должно допускать такой возможности, но, к сожалению, сервер может принимать такой запрос.
Исследовательская статья техасских учёных была опубликована в Трудах симпозиума IEEE по безопасности и приватности (S&P’18).
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
