Uma análise efectuada a um número significativo de apps para dispositivos móveis detectou vulnerabilidades que podem levar à corrupção de APIs – algo que pode afetar a privacidade e segurança de dezenas de milhões de consumidores e empresas.
Através do sistema WARDroid, investigadores da Texas A&M University analisaram 10.000 apps para dispositivos móveis e descobriram que a raiz do problema está nas inconsistências entre as apps e a lógica de servidores em implementações de APIs de Internet. O sistema criado pelos investigadores faz um trabalho de reconhecimento através de análises estáticas e de que tipos de pedidos HTTP são aceites pelos servidores.
A título de exemplo, os investigadores descobriram um problema num popular kit de desenvolvimento (SDK) de e-comércio usado globalmente por milhares de aplicações e lojas online, e com milhões de utilizadores. Com o WARDroid foi possível perceber que era possível contornar a funcionalidade de uma app construída com o SDK e repetir uma opção de pagamento com uma quantidade negativa, o que fazia com que o total a pagar por uma compra fosse zero dólares.
Partindo de uma amostra de 10.000 apps populares na Play Store da Google, os investigadores descobriram este tipo de inconsistências – algo a que chamam “lógica problemática” – em APIs usadas em mais de 4.000 apps. Deste total, foram testadas mil apps com inconsistências lógicas para validar a capacidade de falhas e ataques a APIs de Internet. A causa para estes problemas reside no simples facto de que os controlos integrados nas apps e os controlos executados nos servidores raramente estão sincronizados. Ou seja, enquanto uma app pode não ter problemas em executar os controlos no dispositivo móvel, tais como autenticação de utilizador, os mesmos controlos podem não ser tão exigentes nos servidores.
O estudo efectuado pelos investigadores da Texas A&M University foi publicado e pode ser lido na íntegra aqui.
