Các nhà nghiên cứu an ninh mạng đã xác định được nhiều hơn 1.600 lỗ hổng trong hệ sinh thái hỗ trợ phía sau 5.000 ứng dụng miễn phí chính có sẵn trên Internet Google Play Store.
Trong khi các nhà nghiên cứu tại Viện Công nghệ Georgia và Đại học Bang Ohio chỉ nghiên cứu các ứng dụng trong Google Play Store, các ứng dụng được thiết kế cho iOS có thể chia sẻ tương tự sistema nền.
Lỗ hổng được tìm thấy trong một sistema nền tảng cung cấp nội dung và quảng cáo cho các ứng dụng điện thoại thông minh thông qua mạng máy chủ dựa trên đám mây.
Lỗ hổng, ảnh hưởng đến một số loại ứng dụng, có thể cho phép tin tặc xâm nhập vào cơ sở dữ liệu bao gồm thông tin cá nhân và có thể cả thiết bị di động của người dùng, cho biết nghiên cứu này dự kiến sẽ được trình bày tại Hội nghị chuyên đề bảo mật. USENIX 2019 tại Hoa Kỳ vào thứ năm.
"Lỗ hổng này ảnh hưởng đến các máy chủ đám mây và một khi kẻ tấn công đăng nhập, có nhiều cách chúng có thể tấn công", Brendan Saltaformaggio, giáo sư trợ lý tại Trường Kỹ thuật Điện và Máy tính Georgia Tech, nói.
Các nhà điều tra vẫn đang điều tra xem liệu kẻ tấn công có thể đột nhập vào các thiết bị di động riêng lẻ được kết nối với các máy chủ dễ bị tấn công hay không.
"Đây là một câu hỏi hoàn toàn mới nếu họ có thể nhảy từ máy chủ sang thiết bị của người dùng, nhưng nghiên cứu ban đầu của chúng tôi về vấn đề này rất liên quan," Saltaformaggio nói thêm.
Trong nghiên cứu của họ, các nhà nghiên cứu đã tìm thấy 983 ví dụ về lỗ hổng đã biết và 655 ví dụ về lỗ hổng zero-day khác bao gồm lớp phần mềm [sistema operativo, dịch vụ phần mềm, mô-đun giao tiếp và ứng dụng web] của các hệ thống dựa trên đám mây hỗ trợ các ứng dụng.
Để giúp các nhà phát triển cải thiện tính bảo mật của các ứng dụng di động của họ, các nhà nghiên cứu đã tạo ra một sistema tự động được gọi là SkyWalker để xác minh máy chủ đám mây và hệ thống thư viện phần mềm.
SkyWalker có thể xác minh tính bảo mật của các máy chủ hỗ trợ các ứng dụng di động, thường được vận hành bởi các dịch vụ lưu trữ đám mây thay vì các nhà phát triển ứng dụng riêng lẻ.
