Teléfonos inteligentes tabletas, iPads:los dispositivos móviles se han vuelto invaluables para el consumidor diario. Pero pocos consideran los problemas de seguridad que ocurren al usar estos dispositivos.

Las aplicaciones o "aplicaciones" móviles modernas utilizan servicios de interfaz de programación de aplicaciones (API) basados ​​en HTTP alojados en la nube y dependen en gran medida de la infraestructura de Internet para la comunicación y el almacenamiento de datos. Para mejorar el rendimiento y aprovechar la potencia del dispositivo móvil, La validación de entrada y otra lógica empresarial necesaria para la interfaz con los servicios API web se implementan normalmente en el cliente móvil. Sin embargo, cuando la implementación de un servicio web no logra replicar completamente la validación de entrada, da lugar a inconsistencias que podrían conducir a ataques que pueden comprometer la seguridad y privacidad del usuario. El desarrollo de métodos automáticos de auditoría de las API web para la seguridad sigue siendo un desafío.

Dr. Guofei Gu, profesor asociado en el Departamento de Ciencias de la Computación e Ingeniería de la Universidad Texas A&M y director del laboratorio SUCCESS, junto con sus estudiantes de doctorado Abner Mendoza y Guangliang Yang, están trabajando para combatir estos problemas de seguridad.

Gu y su equipo analizaron 10, 000 aplicaciones móviles y descubrió que muchas de ellas están abiertas al secuestro de API web, algo que potencialmente afecta la privacidad y seguridad de decenas de millones de usuarios comerciales y consumidores en todo el mundo.

La raíz de la amenaza radica en las inconsistencias que a menudo se encuentran entre la lógica de la aplicación y el servidor en las implementaciones de API web para aplicaciones móviles. El equipo de Gu creó el marco WARDroid para rastrear aplicaciones, realizar automáticamente reconocimientos y descubrir este tipo de inconsistencias, mediante análisis estático junto con los tipos de solicitudes HTTP que acepta el servidor. Una vez que un atacante tiene la información sobre el aspecto de estas solicitudes, él o ella pueden llevar a cabo sus propias acciones ajustando algunos parámetros.

Como un simple ejemplo, Gu explica en una aplicación / servidor de compras vulnerable:un usuario malintencionado podría comprar gratis haciendo que algunos de los precios de los artículos en el carrito de compras fueran negativos (con algunos ajustes de parámetros HTTP), que no debería ser permitido por la aplicación pero desafortunadamente puede ser aceptado por el servidor.

Después de identificar muchas aplicaciones / servidores móviles vulnerables del mundo real que afectan a millones de usuarios, El equipo de Gu se ha comunicado con los desarrolladores para ayudarlos a solucionar las vulnerabilidades. Su trabajo de investigación se publicó en las actas del Simposio sobre seguridad y privacidad del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) de 2018 (S &P'18), una de las conferencias más prestigiosas en ciberseguridad.

Este es solo un ejemplo de la investigación de Gu sobre la seguridad de las aplicaciones móviles. En la misma conferencia, el equipo de Gu tuvo otro trabajo de investigación sobre la seguridad de las aplicaciones móviles que identifica un nuevo tipo de vulnerabilidad denominada Origin Stripping Vulnerabilities (OSV) en aplicaciones móviles híbridas modernas e introduce una nueva solución de mitigación sin OSV (que se publica como código abierto en http://success.cse.tamu.edu/lab/osv-free.php).