Smartphones, tabletter, iPads – mobila enheter har blivit ovärderliga för den dagliga konsumenten. Men få överväger de säkerhetsproblem som uppstår när du använder dessa enheter.

Moderna mobilapplikationer eller "appar" använder molnbaserade HTTP-baserade API-tjänster (Application Programming Interface) och är starkt beroende av internetinfrastrukturen för datakommunikation och lagring. För att förbättra prestanda och utnyttja kraften i den mobila enheten, indatavalidering och annan affärslogik som krävs för gränssnitt med webb-API-tjänster implementeras vanligtvis på den mobila klienten. Dock, när en webbtjänstimplementering misslyckas med att grundligt replikera indatavalidering, det ger upphov till inkonsekvenser som kan leda till attacker som kan äventyra användarsäkerhet och integritet. Att utveckla automatiska metoder för att granska webb-API:er för säkerhet är fortfarande en utmaning.

Dr Guofei Gu, docent vid institutionen för datavetenskap och teknik vid Texas A&M University och chef för SUCCESS-labbet, tillsammans med sina doktorander Abner Mendoza och Guangliang Yang, arbetar för att bekämpa dessa säkerhetsfrågor.

Gu och hans team analyserade 10, 000 mobilappar och upptäckte att många av dem är öppna för webb-API-kapning – något som potentiellt påverkar integriteten och säkerheten för tiotals miljoner företagsanvändare och konsumenter globalt.

Roten till hotet ligger i de inkonsekvenser som ofta finns mellan app- och serverlogik i webb-API-implementeringar för mobilappar. Gus team skapade WARDroid-ramverket för att genomsöka applikationer, automatiskt utföra spaning och avslöja dessa typer av inkonsekvenser, använder statisk analys tillsammans med vilka typer av HTTP-förfrågningar som accepteras av servern. När en angripare har information om hur dessa förfrågningar ser ut, han eller hon kan utföra sina egna handlingar genom att justera några parametrar.

Som ett enkelt exempel, Gu förklarar i en sårbar shoppingapp/server, en illvillig användare kan handla gratis genom att göra några av varupriserna i kundvagnen som negativa (med justering av vissa HTTP-parametrar), vilket inte borde tillåtas av appen men tyvärr kan accepteras av servern.

Efter att ha identifierat många sårbara verkliga mobilappar/servrar som påverkar miljontals användare, Gu -teamet har kommunicerat med utvecklarna för att hjälpa dem att åtgärda sårbarheterna. Deras forskningsartikel publicerades i 2018 års sammanträde av Institute of Electrical and Electronics Engineers (IEEE) Symposium on Security &Privacy (S&P'18), en av de mest prestigefyllda toppkonferenserna inom cybersäkerhet.

Detta är bara ett exempel på Gus forskning om mobilappssäkerhet. Vid samma konferens hade Gus team ytterligare ett forskningsdokument om mobilappssäkerhet som identifierar en ny typ av sårbarhet som heter Origin Stripping Vulnerabilities (OSV) i moderna hybridmobilappar och introducerar en ny begränsningslösning OSV-Free (som släpps som öppen källkod på http://success.cse.tamu.edu/lab/osv-free.php).