Các nhà phát triển di động mắc lỗi y chang các nhà phát triển web đầu những năm 2000s

Các nhà phát triển ứng dụng di động đang trải qua “thời kì đau khổ” giống hệt các nhà phát triển web (webdev) vào những năm 90s 2000s khi việc thẩm định dữ liệu đầu vào dẫn tới nhiều vấn đề bảo mật. Dù đã học cách lọc ra chuỗi nguy hiểm từ dữ liệu đầu vào người dùng nhưng một số vẫn mắc lỗi.

Logic kinh doanh theo hướng khách hàng như năm 1999

Nghiên cứu mới công bố của 2 nhà nghiên cứu từ Đại học Texas A&M cho thấy một vấn đề mà nhiều ứng dụng di động ngày nay gặp phải thuộc về logic kinh doanh (business logic - như thẩm định dữ liệu đầu vào, xác thực người dùng) nằm trong các thành phần phía client của đoạn code chứ không phải phía server.

Điều này khiến nhiều người dùng ứng dụng di động dễ bị ảnh hưởng, ngay cả trước tấn công đơn giản như tiêm mã độc từ yêu cầu HTTP, có thể dễ dàng giảm thiểu nếu logic kinh doanh của ứng dụng được đưa vào thành phần phía server.

Không chỉ là lỗi thiết kế, đây là lỗi liên quan tới bảo mật ứng dụng di động
Không chỉ là lỗi thiết kế, đây là lỗi liên quan tới bảo mật ứng dụng di động

Để logic kinh doanh về phía client nghe có vẻ giống lỗi về thiết kế nhưng thực chất lại là vấn đề bảo mật nghiêm trọng. Ví như kẻ tấn công có thể phân tích ứng dụng di động, xác định định dạng của yêu cầu web gửi tới server ứng dụng đó sau khi dữ liệu đầu vào của người dùng được thẩm định. Sau đó có thể chỉnh sửa thông số của yêu cầu để thực hiện hành vi xấu.

Hàng triệu ứng dụng có nguy cơ bị ảnh hưởng

Hai nhà nghiên cứu nói trên tạo ra hệ thống WARDroid, phân tích hàng loạt ứng dụng di động để xác định định dạng của yêu cầu web, và xem nó có dễ bị những kiểu tấn công này xâm hại không. WARDroid kiểm tra ngẫu nhiên 10.000 ứng dụng trên Google Play Store và “phát hiện lỗi logic trong API ở hơn 4.000 ứng dụng, trong đó có 1.743 ứng dụng dùng giao thức HTTP chưa được mã hóa”.

WARDroid không phải chỉ báo chắc chắn rằng mẫu giao tiếp của ứng dụng có dễ bị tấn công hay không, nên 2 nhà nghiên cứu có phân tích thủ công ngẫu nhiên 1.000 ứng dụng đã bị cảnh báo, xác nhận có 962 ứng dụng dùng API có lỗi logic. Nếu mở rộng trên cả Play Store, họ tin rằng con số sẽ nhiều hơn.

Xem thêm:

Thứ Ba, 05/06/2018 15:07
51 👨 183
0 Bình luận
Sắp xếp theo
    ❖ Bình luận công nghệ