백 코딩 된 스마트 폰 애플리케이션은 심각한 취약점으로 이어질 수 있습니다.
널리 퍼져있는 애플리케이션을 포함하여 수많은 다용도 애플리케이션이 클라우드 기반의 백엔드 관리를 실현합니다. 누구에게나 고객이 만든 매우 많은 섬세한 기록을 얻을 수있는 기회를 제공하는 방법입니다. 연구. 시험은 Technical University와 Fraunhofer Institute for Secure Information의 분석가에 의해 수행되었습니다. 독일 다름슈타트의 기술과 그 결과는 금요일 Black Hat Europe 보안 모임에서 소개되었습니다. 암스테르담.
Facebook이 주장하는 Parse, CloudMine 또는 Amazon Web Services와 같은 공급 업체의 BaaS (Backend-as-a-Service) 시스템을 활용하는 애플리케이션에 중점을 두었습니다. BaaS 구조는 클라우드 기반 데이터베이스 비축, 푸시 경고, 클라이언트 조직 및 엔지니어가 의심 할 여지없이 애플리케이션에서 사용할 수있는 다양한 관리를 제공합니다. 엔지니어가해야 할 일은 BaaS 공급 업체에 등록하고 제품 개선 장치 (SDK)를 조정하는 것입니다. 그런 다음 간단한 API (Application Programming Interface)를 통해 관리를 활용합니다.
전문가들은 문제가 전반적으로 어떻게 발생했는지 인식하는 최종 목표를 염두에두고 정적 및 요소 검사를 모두 사용하는 장치를 제조했습니다. 응용 프로그램에서 어떤 BaaS 공급 업체를 사용하는지 구별하고 BaaS 액세스 키가 혼란 스럽거나 헷갈릴 가능성에 관계없이 여기에서 분리합니다. 실행 시간. 2 백만 개 이상의 Android 및 iOS 애플리케이션에 대해 기기를 실행하고 1,000 개의 백엔드 자격 및 관련 데이터베이스 테이블 이름을 제거했습니다. 이러한 인증의 상당 부분이 동일한 디자이너의 다른 응용 프로그램에서 재사용되었습니다. 전체적으로 5,600 만 개의 정보가 포함 된 1,850 만 개 이상의 레코드에 대한 액세스 권한을 부여했습니다. 소지품.
기록에는 펜더 벤더 데이터, 클라이언트 특정 지역 정보, 생일, 연락처 데이터, 전화 번호, 사진, 합법적 인 이메일 위치, 구매 정보, 개인 메시지, 아동 발달 정보 및 전체 서버 백업. Amazon 및 Parse와 유사한 일부 BaaS 공급 업체는보다 추진 된 액세스 제어 및 전체 애플리케이션이 아닌 백엔드 관리를 통해 개별 애플리케이션 클라이언트를 확인합니다. 그러나 이것들은 실현하기 어려울 수 있습니다.
또한 읽으십시오 :
구글, 애플, BaaS 공급 업체들은 4 월부터이 문제에 대해 연락을 받았고, 이에 따라 애플리케이션이 영향을받은 디자이너들에게 정보를 전달했습니다. 그럴 수 있습니다. 12, 5,200 만 개 이상의 정보에 대한 접근은 아직 밝혀지지 않은 인증으로 공개적으로 접근 할 수 있었다고 과학자들은 말했다. 이 정보 중 일부는 엔지니어가 다른 작업을 진행함에 따라이를 만든 애플리케이션이 더 이상 존재하지 않는다는 이유로 림보에 있습니다. 이것은 디자이너가 덜 신경 쓰지 않거나 문제를 변경하는 방법을 모른다는 것을 제안합니다.