Smartphones, tabletten, iPads:mobiele apparaten zijn van onschatbare waarde geworden voor de dagelijkse consument. Maar weinigen houden rekening met de beveiligingsproblemen die optreden bij het gebruik van deze apparaten.

Moderne mobiele applicaties of "apps" gebruiken in de cloud gehoste HTTP-gebaseerde API-services (Application Programming Interface) en zijn sterk afhankelijk van de internetinfrastructuur voor datacommunicatie en opslag. Om de prestaties te verbeteren en de kracht van het mobiele apparaat te benutten, invoervalidatie en andere bedrijfslogica die nodig zijn voor interfaces met web-API-services worden doorgaans geïmplementeerd op de mobiele client. Echter, wanneer een webservice-implementatie de invoervalidatie niet grondig repliceert, het leidt tot inconsistenties die kunnen leiden tot aanvallen die de veiligheid en privacy van gebruikers in gevaar kunnen brengen. Het ontwikkelen van automatische methoden voor het controleren van web-API's voor beveiliging blijft een uitdaging.

Dr. Guofei Gu, universitair hoofddocent bij de afdeling Computerwetenschappen en Engineering aan de Texas A&M University en directeur van het SUCCESS-lab, samen met zijn promovendi Abner Mendoza en Guangliang Yang, werken aan de bestrijding van deze veiligheidsproblemen.

Gu en zijn team analyseerden 10, 000 mobiele apps en ontdekten dat veel van hen openstaan ​​voor web-API-kaping, iets dat mogelijk de privacy en veiligheid van tientallen miljoenen zakelijke gebruikers en consumenten wereldwijd aantast.

De wortel van de dreiging ligt in de inconsistenties die vaak worden gevonden tussen app- en serverlogica in web-API-implementaties voor mobiele apps. Gu's team heeft het WARDroid-framework gemaakt om applicaties te crawlen, automatisch verkenningen uitvoeren en dit soort inconsistenties blootleggen, met behulp van statische analyse samen met welke soorten HTTP-verzoeken door de server worden geaccepteerd. Zodra een aanvaller de informatie heeft over hoe deze verzoeken eruitzien, hij of zij kan zijn eigen acties uitvoeren door een paar parameters aan te passen.

Als een eenvoudig voorbeeld, Gu legt uit in een kwetsbare winkel-app/server, een kwaadwillende gebruiker kan gratis winkelen door een deel van de artikelprijzen in het winkelwagentje als negatief te maken (met enkele HTTP-parameters aan te passen), die niet door de app zou moeten worden toegestaan, maar helaas door de server kan worden geaccepteerd.

Na het identificeren van veel kwetsbare echte mobiele apps/servers die miljoenen gebruikers treffen, Gu's team heeft met de ontwikkelaars gecommuniceerd om hen te helpen de kwetsbaarheden te verhelpen. Hun onderzoekspaper werd gepubliceerd in de procedures van het 2018 Institute of Electrical and Electronics Engineers (IEEE) Symposium on Security &Privacy (S&P'18), een van de meest prestigieuze topconferenties in cybersecurity.

Dit is slechts één voorbeeld van Gu's onderzoek naar de beveiliging van mobiele apps. Op dezelfde conferentie had het team van Gu nog een onderzoekspaper over de beveiliging van mobiele apps waarin een nieuw type kwetsbaarheid wordt geïdentificeerd, genaamd Origin Stripping Vulnerabilities (OSV) in moderne hybride mobiele apps en een nieuwe oplossing voor het beperken van OSV-vrij (die als open source wordt uitgebracht op http://success.cse.tamu.edu/lab/osv-free.php).