Blackhat Europeそれでも私たちは学ぶことができていない。5人の研究者が、コードにキーを書き込むという悪質な習慣が、世界で最も人気のあるAndroidおよびiOSアプリケーションの一部に依然として残っていることを発見した。
研究者らは、ハードコードされた認証情報は簡単に抽出でき、何百万もの個人や企業の機密認証情報、医療健康記録、個人データにアクセスし、操作することができると述べている。
何千ものアプリが商用バックエンド サービスに接続し、機密性の高いユーザー レコードを公開する方法に欠陥が存在します。
テストされた200万個のアプリから1,000件の認証情報が見つかり、1,870万件ものレコードと5,600万件ものデータ項目へのアクセスが可能になっていました。バックエンドサービスは、基本的なサービスとクラウドストレージを提供することで、開発者がアプリ開発に必要とする知識を軽減します。
チームはまた、脆弱なアプリを自動的に検出し、関連するバックエンド サービスに対してテストするためのキーを抽出することができる HAVOC ツールも公開しました。
ドイツのダルムシュタット工科大学の Siegfried Rasthofer 氏、Steven Arzt 氏、Robert Hahn 氏、Max Kolhagen 氏、Eric Bodden 氏は、BlackHat Europe で発表された論文「(In)Security of Backend-as-a-Service」(PDF) で自らの研究成果を発表しました。
著者らは、この研究を、BaaS プロバイダーと API、および Android と iOS での使用に関する初の「包括的なセキュリティ評価」であると説明しています。
「現在のツールを使えば、攻撃者は数百万件の検証済みメールアドレス、数千件の健康記録、従業員と顧客の完全なデータベース、音声記録など、膨大な量の機密データにアクセスできることが分かった」と研究者らは記している。
「多くの場合、レコードを自由に操作したり削除したりできます。一部のBaaSインスタンスには、リモートコード実行の脆弱性さえあります。」
「当社は、潜在的に脆弱なアプリケーションを見つけるための完全自動化ツールである HAVOC と、アプリから必要な資格情報を抽出し、BaaS バックエンドでその有効性をチェックする完全自動化エクスプロイト ジェネレーターを提供しています。」
チームは、開発者とプロバイダーに、よりセキュリティを重視したデフォルトの認証情報を使用すること、脅威について開発者を教育すること、アプリストアにアップロードされたアプリケーションの自動脆弱性スキャンを実施することを提案しています。
「一般的に、アプリ開発者は、すべてのアプリがセキュリティに影響を及ぼし、それをアプリの基本設計の一部として考慮する必要があることをより深く理解する必要があります」と彼らは述べています。®
