נחשפה פרצת אבטחה בפלטפורמת קורדובה בעולם אפליקציות המובייל
מאת:
חיים חביב, 5.9.14, 21:00
החוקרים רועי חי ודוד קפלן הציגו את הפרצה בכנס OWASP ישראל.
חוקרים בקבוצת אבטחת יישומים
X-Force Application Security Research של
IBM הפועלת בהרצליה חשפו פרצת אבטחה בפלטפורמת
Apache Cordova (לשעבר –
PhoneGap) המשמשת בעולם אפליקציות המובייל.
החוקרים,
רועי חי ו
דוד קפלן, הציגו השבוע את הפרצה בכנס
OWASP ישראל במרכז הבינתחומי בהרצליה. מעריכים שהפרצה עלולה להשפיע על כ-5.8% מהאפליקציות הפועלות כיום בסביבת אנדרואיד.
כמקובל, העבירה הקבוצה דיווח מוקדם לצוות הפיתוח של מערכת קורדובה ועיכבה את פרסום הגילוי עד עדכון אמצעי הגנה מתאים. כתוצאה, שוחררה גרסה עדכנית של קורדובה (3.5.1) ופורסמו הנחיות מתאימות למפתחים ע"י
Apache.
ניתוח האבטחה של יבמ חשף, שבנסיבות מסוימות ניתן לנצל את הפרצה מרחוק לגניבת מידע רגיש, דוגמת קבצי
Cookies הקשורים ליישומים מבוססי קורדובה, באמצעות פיתוי הגולש להיכנס לאתר המכיל קוד זדוני הנחזה כאתר לגיטימי או בדוא"ל המכיל קישור הפנייה לאתר זדוני. הפרצה מאפשרת הזרקת קוד זדוני ב-
JavaScript לתוך אפליקציות מבוססות קורדובה. בנוסף, מסוגל קוד זה לשלוח מידע חזרה אל התוקפים.
קבוצת המו"פ של יבמ הפועלת בהרצליה מתמקדת בפיתוח טכנולוגיות זיהוי אוטומטי לאיתור נקודות תורפה ביישומים מבוססי
Web, ו-
Mobile. הדבר נעשה הן באמצעות בחינת קוד המקור של יישומים אלה כבר בשלבי פיתוח מוקדמים והן באמצעות כלי בדיקה במהלך הרצת היישום בפועל. הקבוצה כוללת חוקרים בכירים, רבים מהם יוצאי יחידות עילית של צה"ל בתחום הטכנולוגיה.