Telecom News - נחשפה פרצת אבטחה בפלטפורמת קורדובה בעולם אפליקציות המובייל

נחשפה פרצת אבטחה בפלטפורמת קורדובה בעולם אפליקציות המובייל

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשפה פרצת אבטחה בפלטפורמת קורדובה בעולם אפליקציות המובייל
נחשפה פרצת אבטחה בפלטפורמת קורדובה בעולם אפליקציות המובייל
מאת: חיים חביב, 5.9.14, 21:00אפליקציות לסלולר

החוקרים רועי חי ודוד קפלן הציגו את הפרצה בכנס OWASP ישראל.
 
חוקרים בקבוצת אבטחת יישומים X-Force Application Security Research של IBM הפועלת בהרצליה חשפו פרצת אבטחה בפלטפורמת Apache Cordova (לשעבר – PhoneGap) המשמשת בעולם אפליקציות המובייל.

החוקרים, רועי חי ודוד קפלן, הציגו השבוע את הפרצה בכנסOWASP  ישראל במרכז הבינתחומי בהרצליה. מעריכים שהפרצה עלולה להשפיע על כ-5.8% מהאפליקציות הפועלות כיום בסביבת אנדרואיד.

כמקובל, העבירה הקבוצה דיווח מוקדם לצוות הפיתוח של מערכת קורדובה ועיכבה את פרסום הגילוי עד עדכון אמצעי הגנה מתאים. כתוצאה, שוחררה גרסה עדכנית של קורדובה (3.5.1) ופורסמו הנחיות מתאימות למפתחים ע"י Apache.

ניתוח האבטחה של יבמ חשף, שבנסיבות מסוימות ניתן לנצל את הפרצה מרחוק לגניבת מידע רגיש, דוגמת קבצי Cookies הקשורים ליישומים מבוססי קורדובה, באמצעות פיתוי הגולש להיכנס לאתר המכיל קוד זדוני הנחזה כאתר לגיטימי או בדוא"ל המכיל קישור הפנייה לאתר זדוני. הפרצה מאפשרת הזרקת קוד זדוני ב- JavaScript לתוך אפליקציות מבוססות קורדובה. בנוסף, מסוגל קוד זה לשלוח מידע חזרה אל התוקפים.

קבוצת המו"פ של יבמ הפועלת בהרצליה מתמקדת בפיתוח טכנולוגיות זיהוי אוטומטי לאיתור נקודות תורפה ביישומים מבוססי Web, ו-Mobile. הדבר נעשה הן באמצעות בחינת קוד המקור של יישומים אלה כבר בשלבי פיתוח מוקדמים והן באמצעות כלי בדיקה במהלך הרצת היישום בפועל. הקבוצה כוללת חוקרים בכירים, רבים מהם יוצאי יחידות עילית של צה"ל בתחום הטכנולוגיה.
 
פרצת אבטחה



 
 
Bookmark and Share