פירצת אבטחה באפליקציות לסביבת אנדרואיד

יום ב', 8 בספטמבר 2014
 
מעבדות האבטחה של יבמ בישראל חשפו פרצה בפלטפורמת קורדובה המשמשת בעולם אפליקציות המובייל
 
חוקרי אבטחת יישומים בקבוצת  X-Force Application Security Research של יבמ, הפועלת בהרצליה,  גילו פרצת אבטחה בפלטפורמת Apache Cordova (לשעבר – PhoneGap) המשמשת בעולם אפליקציות המובייל. 
החוקרים, רועי חי ודוד קפלן, הציגו את הפרצה בכנסOWASP  ישראל, שהתקיים  במרכז הבינתחומי בהרצליה. על פי ההערכה, הפירצה עלולה להשפיע על כ-5.8% מהאפליקציות הקיימות לסביבת אנדרואיד. 
כמקובל בעולם מחקר האבטחה, הקפידה קבוצת X-Force של יבמ להעביר דיווח מוקדם לצוות העומד מאחורי פיתוח מערכת קורדובה, ודחתה את הפרסום על הגילוי - עד לאחר שהובטחה זמינותו של עדכון או אמצעי הגנה מתאים. כתוצאה, שוחררה גירסה חדשה של קורדובה (3.5.1) ופורסמו הנחיות מתאימות למפתחים ע"י Apache. 
ניתוח האבטחה של יבמ מעלה כי בנסיבות מסוימות, ניתן לנצל את הפירצה מרחוק על מנת לגנוב מידע רגיש, דוגמת קבצי Cookies הקשורים ליישומים מבוססי קורדובה, באמצעות פיתוי הגולש להיכנס לאתר המכיל קוד זדוני הנחזה כאתר לגיטימי, או בדוא"ל המכיל לינק המפנה לאתר זדוני. הפרצה מאפשרת הזרקת קוד זדוני הכתוב ב- JavaScript לתוך אפליקציות מבוססות קורדובה. בנוסף, מסוגל קוד זה לשלוח מידע חזרה אל התוקפים.
קבוצת המו"פ של יבמ הפועלת בהרצליה מפתחת טכנולוגיות לזיהוי אוטומטי של נקודות תורפה ביישומים מבוססי Web, ו-Mobile - הן באמצעות בחינת קוד המקור של יישומים אלה כבר בשלבי הפיתוח, והן באמצעות כלי בדיקה במהלך הרצת היישום בפועל. הקבוצה כוללת חוקרים בכירים, רבים מהם יוצאי יחידות עילית של צה"ל בתחום הטכנולוגיה.