Multe aplicații pentru Android din Google Play nu se ghidează, încă, după cele mai bune practici în autentificare și autorizare.
Isabella Chen, inginer de soft la Google, spunea pe blogul său că acest lucru poate face ca aplicațiile să rămână “vulnerabile în fața atacurilor”.
Este important ca dezvoltatorii de aplicații să le proiecteze pe acestea, astfel încât să fie cât mai sigure posibil și, prin urmare, să fie protejate de tot felul de amenințări.
Isabella Chen a prezentat o listă a unor posibile linii de atac pe care infractorii cibernetici le pot exploata cu ajutorul aplicațiilor vulnerabile.
Acestea includ atacuri de substituție a e-mailului sau a ID-ului și a token-urilor de acces.
“După conectarea cu Google pe Android, unele aplicații trimit direct email-ul sau ID-ul de utilizator sub formă de text simplu către server-ul backend drept credențiale de identitate”, a explicat aceasta.
“Aceste endpoint-uri de server permit unui atacator rău intenționat să inițieze cu ușurință o cerere, prin care să obțină acces la contul oricărui utilizator prin ghicirea e-mailului sau a ID-ului.”
În ceea ce privește acest lucru, doamna Chen a subliniat faptul că acest decalaj de securitate are legătură cu folosirea, în continuare de către dezvoltatori, a succesorilor lui Plus.API / GoogleAuthUtil.getToken.
Încă o dată, după ce s-a realizat conectarea cu Google pe Android, multe aplicații expediază un jeton de acces – securizat prin intermediul GoogleAuthUtil.getToken – “la serverul lor backend drept afirmarea identității”.
“Token-urile de acces sunt indicative la purtător, iar serverele backend nu pot verifica cu ușurință dacă acel token este eliberat pentru acelea”, a continuat Isabella Chen.
“Un atacator rău intenționat poate face phishing utilizatorului astfel încât acesta să se conecteze pe o altă aplicație și să folosească acel token diferit pentru a iniția cererea la backend-ul dvs.”
Legat de acest subiect, Google a avut conferința anuală concentrată pe dezvoltatorii de softuri, I/O, unde au fost abordate subiecte de securitate interesante, setate pe ordinea de zi.
NARINDER PURBA
CORESPONDENT INDEPENDENT
NARINDER PURBA
CORESPONDENT INDEPENDENT
Lasa un comentariu