Миллионы смартфонов и планшетов уязвимы для взлома web API

Доктор Гуофэй Гу (Guofei Gu) с кафедры компьютерной науки и техники Техасского университета A&M, являющийся также заведующим лабораторией SUCCESS, вместе со своими сотрудниками проанализировал 10 тысяч мобильных приложений и обнаружил, что многие из них открыты для взлома web API. Такая уязвимость ставит под угрозу приватность и безопасность десятков миллионов пользователей планшетов и смартфонов во всем мире.

Проблема вызвана несоответствиями в логике прикладного и серверного ПО, часто возникающими при использовании web API в мобильных приложениях.

Команда Гу разработала фреймворк WARDroid для автоматического выявления подобных несоответствий с помощью статического анализа и проверки, какие типы HTTP-запросов принимаются сервером. Обладая этой информацией, хакер может выполнять собственные действия, изменяя несколько параметров.

В качестве примера, доктор Гу рассказал, как можно использовать такую уязвимость, для бесплатной покупки товаров онлайн. Для этого в корзине покупателя цены товаров делают отрицательными (подбором ряда параметров HTTP). Торговое приложение не должно допускать такой возможности, но, к сожалению, сервер может принимать такой запрос.

Исследовательская статья техасских учёных была опубликована в Трудах симпозиума IEEE по безопасности и приватности (S&P’18).