스마트 폰, 태블릿, iPad-모바일 장치는 일상 소비자에게 귀중하게되었습니다. 그러나 이러한 장치를 사용할 때 발생하는 보안 문제를 고려하는 사람은 거의 없습니다.
최신 모바일 애플리케이션 또는 "앱"클라우드 호스팅 HTTP 기반 애플리케이션 프로그래밍 인터페이스 (API) 서비스를 사용하고 데이터 통신 및 스토리지를위한 인터넷 인프라에 크게 의존합니다. 성능을 향상시키고 모바일 장치의 전력을 활용하려면 Web API 서비스와 인터페이스하는 데 필요한 입력 유효성 검사 및 기타 비즈니스 논리는 일반적으로 모바일 클라이언트에서 구현됩니다. 그러나 웹 서비스 구현이 입력 유효성 검사를 철저히 복제하지 못하면 사용자 보안 및 개인 정보를 손상시킬 수있는 공격으로 이어질 수있는 불일치가 발생합니다. 보안을위한 웹 API를 감사하는 자동 방법 개발은 여전히 어려운 일입니다.
dr. Guofei Gu, Texas A & M University의 컴퓨터 과학 및 공학과 부교수이자 성공 룰렛 배당소 책임자 및 박사 과정 학생들과 함께 Abner Mendoza 및 Guangliang Yang은 이러한 보안 문제와 싸우기 위해 노력하고 있습니다..
GU와 그의 팀은 10,000 개의 모바일 앱을 분석하여 많은 사람들이 웹 API 납치에 개방되어 있음을 발견했습니다.
위협의 근본은 모바일 앱의 웹 API 구현에서 앱과 서버 로직 사이에서 종종 발견되는 불일치에 있습니다. GU의 팀은 응용 프로그램을 크롤링하기 위해 와이드 프레임 워크를 만들었고, 정찰을 자동으로 수행하고 이러한 종류의 불일치를 밝히고 정적 분석을 사용하여 서버에서 어떤 종류의 HTTP 요청이 허용되는지를 발견했습니다. 공격자가 이러한 요청이 어떻게 보이는지에 대한 정보를 얻으면 몇 가지 매개 변수를 조정하여 자신의 행동을 수행 할 수 있습니다.
간단한 예를 들어, Gu는 취약한 쇼핑 앱/서버에서 설명하는 경우, 악의적 인 사용자는 쇼핑 카트의 일부 항목 가격을 부정적인 것으로 만들어 무료로 쇼핑 할 수 있습니다 (일부 HTTP 매개 변수를 조정 함).
41625_42222BleepingComputer, 위협및SecurityBoulevard, 인기있는 기술 소셜 뉴스 웹 사이트에서 광범위한 토론을 생성했습니다Slashdot.
이것은 모바일 앱 보안에 대한 GU의 룰렛 배당의 한 예일뿐입니다. 동일한 회의에서 GU 팀에는 모바일 앱 보안에 대한 또 다른 룰렛 배당 논문이 있었는데, 현대 하이브리드 모바일 앱에서 Origin Stripping Velnerabilities (OSV)라는 새로운 유형의 취약점을 식별하고 새로운 완화 솔루션 OSV-Free를 소개합니다..GU의 모바일 보안 룰렛 배당에 대한 자세한 내용은 실험실 웹 사이트를 방문하십시오.