מעבדות IBM בישראל חשפו פרצה ב-Apache Cordova
הפרצה מאיימת על יותר מ-5% מהאפליקציות הקיימות למכשירי אנדרואיד. ניתן לנצל את הפרצה על מנת לגנוב מידע ולשתול קוד זדוני באפליקציות
חוקרי אבטחת יישומים בקבוצת X-Force Application Security Research של IBM, הפועלת בישראל, גילו פרצת אבטחה בפלטפורמת Apache Cordova (לשעבר – PhoneGap) המשמשת בעולם אפליקציות המובייל.
- סופית: IBM קיבלה אישור למכירת חטיבת השרתים ללנובו
- דיווח: גוגל תשתף פעולה עם HP מול אפל ו-IBM
- האם עסקי הענן של IBM יצילו את החברה?
החוקרים, רועי חי ודוד קפלן, הציגו את הפרצה בכנס OWASP ישראל, שהתקיים בשבוע שעבר במרכז הבינתחומי בהרצליה. על פי ההערכה, הפרצה עלולה להשפיע על כ-5.8% מהאפליקציות הקיימות לסביבת אנדרואיד - כ-75,000 אלף אפליקציות.
מעבדות האבטחה של IBM בישראל חשפו פרצה בפלטפורמת Apache Cordova
כמקובל בעולם מחקר האבטחה, הקפידה קבוצת X-Force של IBM להעביר דיווח מוקדם לצוות העומד מאחורי פיתוח מערכת קורדובה, ודחתה את הפרסום על הגילוי - עד לאחר שהובטחה זמינותו של עדכון או אמצעי הגנה מתאים. כתוצאה, שוחררה גירסה חדשה של קורדובה (3.5.1) ופורסמו הנחיות מתאימות למפתחים על ידי Apache.
ניתוח האבטחה של IBM מעלה כי בנסיבות מסוימות, ניתן לנצל את הפירצה מרחוק על מנת לגנוב מידע רגיש, דוגמת קבצי Cookies הקשורים ליישומים מבוססי קורדובה, באמצעות פיתוי הגולש להיכנס לאתר המכיל קוד זדוני הנחזה כאתר לגיטימי, או בדוא"ל המכיל לינק המפנה לאתר זדוני. הפרצה מאפשרת הזרקת קוד זדוני הכתוב ב- JavaScript לתוך אפליקציות מבוססות קורדובה. בנוסף, מסוגל קוד זה לשלוח מידע חזרה אל התוקפים.
קבוצת המו"פ של IBM הפועלת בהרצליה מפתחת טכנולוגיות לזיהוי אוטומטי של נקודות תורפה ביישומים מבוססי Web, ו-Mobile - הן באמצעות בחינת קוד המקור של יישומים אלה כבר בשלבי הפיתוח, והן באמצעות כלי בדיקה במהלך הרצת היישום בפועל. הקבוצה כוללת חוקרים בכירים, רבים מהם יוצאי יחידות עילית של צה"ל בתחום הטכנולוגיה.
