פרצה בפלטפורמה המשמשת בעולם אפליקציות המובייל

יום א', 14 בספטמבר 2014

חוקרי אבטחת יישומים בקבוצת  X-Force Application Security Researchשל יבמ, הפועלת בהרצליה,  גילו פרצת אבטחה בפלטפורמת Apache Cordova(לשעבר – PhoneGap) המשמשת בעולם אפליקציות המובייל.

החוקרים, רועי חי ודוד קפלן, הציגו את הפרצה בכנסOWASP  ישראל, שהתקיים  במרכז הבינתחומי בהרצליה. על פי ההערכה, הפירצה עלולה להשפיע על כ-5.8% מהאפליקציות הקיימות לסביבת אנדרואיד.

כמקובל בעולם מחקר האבטחה, הקפידה קבוצת X-Forceשל יבמ להעביר דיווח מוקדם לצוות העומד מאחורי פיתוח מערכת קורדובה, ודחתה את הפרסום על הגילוי - עד לאחר שהובטחה זמינותו של עדכון או אמצעי הגנה מתאים. כתוצאה, שוחררה גירסה חדשה של קורדובה (3.5.1) ופורסמו הנחיות מתאימות למפתחים ע"י Apache.

ניתוח האבטחה של יבמ מעלה כי בנסיבות מסוימות, ניתן לנצל את הפירצה מרחוק על מנת לגנוב מידע רגיש, דוגמת קבצי Cookiesהקשורים ליישומים מבוססי קורדובה, באמצעות פיתוי הגולש להיכנס לאתר המכיל קוד זדוני הנחזה כאתר לגיטימי, או בדוא"ל המכיל לינק המפנה לאתר זדוני. הפרצה מאפשרת הזרקת קוד זדוני הכתוב ב- JavaScriptלתוך אפליקציות מבוססות קורדובה. בנוסף, מסוגל קוד זה לשלוח מידע חזרה אל התוקפים.

קבוצת המו"פ של  יבמ הפועלת בהרצליה מפתחת טכנולוגיות לזיהוי אוטומטי של נקודות תורפה ביישומים מבוססי Web, ו-Mobile- הן באמצעות בחינת קוד המקור של יישומים אלה כבר בשלבי הפיתוח, והן באמצעות כלי בדיקה במהלך הרצת היישום בפועל. הקבוצה כוללת חוקרים בכירים, רבים מהם יוצאי יחידות עילית של צה"ל בתחום הטכנולוגיה.