Kami berada dalam era digital, semuanya terhubung ke jaringan besar dan manfaat aplikasi perangkat bahkan lebih kompleks yang sangat berinteraksi dengan pemilik, dalam persyaratan skenario keamanan ini mengasumsikan sangat penting dan keamanan arsitektur keseluruhan juga tergantung pada keamanan komponen tunggal.
Dalam bulan-bulan ini pengguna ponsel sudah gila untuk Ruzzle video game sederhana bernama, yang dikembangkan oleh perusahaan Swedia game MAG Interaktif, tersedia untuk perangkat iOS dan Android.
Mekanisme permainan terinspirasi oleh permainan papan Scrabble dan Boggle. Awal 2013 peneliti di Keamanan Hacktive memulai studi pada aplikasi penyebaran yang paling mobile seperti Ruzzle populer berfokus pada protokol diimplementasikan dan kumandang kemungkinan pada privasi pengguna.
Ruzzle protokol menggunakan JSON untuk respon dalam sesi pengguna, analis keamanan menemukan bahwa adalah mungkin untuk mengutak-atik mereka karena tidak adanya kontrol pada sisi server pada data yang dikirim oleh aplikasi.
Kebocoran validasi data secara luas dimanfaatkan dalam konteks aplikasi web biasanya untuk meningkatkan hak penyerang atau terburuk untuk meniru korban dalam sebuah sesi dikonfirmasi.
Penelitian yang dilakukan menunjukkan bahwa adalah mungkin untuk mendapatkan akses dengan profil yang berbeda dari salah satu dari korban tanpa otentikasi dan tentu saja untuk melakukan tindakan apapun persis seperti pengguna diserang.
Salah satu komponen yang paling menarik dari permainan Ruzzle adalah chat, ya hari ini fitur kunci dari setiap permainan adalah aspek sosial itu, kemampuan itu untuk membuat dalam kontak langsung pengguna untuk hanya memainkan permainan atau bertukar pesan.
Ruzzle tidak melarikan diri ke aturan sederhana ini, para ahli di Keamanan Hacktive menunjukkan bahwa pengguna memiliki niat bisa mendapatkan kontrol penuh atas account korban dengan kumandang serius.
Para penyerang bisa akses ke seluruh daftar permainan yang dimainkan termasuk game saat ini dan juga dapat menantang teman-teman korban lain ... tapi hal menyangkut sebagian besar adalah bahwa penyerang bisa akses ke pesan pribadi korban ditukar dengan pengguna lain melalui fitur chat internal dan bisa meniru korban dalam percakapan chatting lainnya.
Setelah bukti-bukti yang diberikan oleh tim analis dalam posting blog mereka, Membuka Ruzzle pada perangkat mobile, aplikasi melakukan proses login melalui permintaan menggunakan metode HTTP POST klasik:
POST di atas adalah permintaan berasal oleh klien, yang berisi parameter yang tepat disampaikan melalui aplikasi (dalam kasus kami proses login dilakukan melalui integrasi dengan Facebook otentikasi).
Sebuah menunjukkan dalam pernyataan di atas semua informasi yang berkaitan dengan identitas pengguna termasuk dalam struktur json dikirim sebagai respon, data ini bisa mudah dicegat dan dimanipulasi, misalnya hanya memodifikasi nilai userId parameter yang digunakan untuk mengidentifikasi korban.
"Untuk mendapatkan nilai userId sudah cukup untuk mencegat lalu lintas biasa yang dihasilkan oleh Ruzzle sementara menantang korban yang dipilih. Kami melanjutkan dalam gangguan nilai parameter userid dengan yang ditugaskan untuk korban kita: "
Setelah melakukan ini, langkah terakhir adalah untuk mengutak-atik beberapa parameter lain dalam POST refreshCache. Parameter yang perlu dirusak adalah cacheKey berikut nilai-nilai:
- listRequests_NNNNNNNNN
- listInvites_NNNNNNNNN
- listActiveGames_NNNNNNNNN
- list_FinishedGames_NNNNNNNNN
NNNNNNNNN ini mewakili userId bahwa dalam POST berasal oleh Ruzzle berisi nilai yang sah dari userId cache oleh aplikasi. Mengirimkan nilai cacheKey ini dirusak dengan userid korban di bagian numerik setelah bawahi adalah langkah terakhir. Respon json untuk POST ini memang banyak ke dalam aplikasi Ruzzle semua data tentang rekening korban sebagai singkat dilaporkan dalam.
Pada titik ini serangan selesai, Ruzzle klien pada perangkat mobile memiliki akses ke akun korban termasuk semua informasi yang dijelaskan di atas.
Apa pelajaran bahwa tim Keamanan Hacktive telah memberi kita?
Berbeda adalah unsur diskusi mulai dari studi tim Italia, pertimbangan pertama adalah terkait dengan tingkat paparan dari pengguna karena akses biasa untuk internet, juga sebuah aplikasi sederhana dapat dimanfaatkan oleh penyerang yang bisa melanggar privasi kami. Sadarilah aplikasi yang digunakan, dan di mana konteks, saat ini tinggi diperdebatkan adalah argumen BYOD, penggunaan yang tidak tepat dari aplikasi di ruang kerja dapat mengekspos informasi sensitif perusahaan dengan konsekuensi serius.
Pertimbangan kedua berkaitan dengan desain aplikasi mobile dan kebutuhan untuk mempertimbangkan keamanan pengguna di tempat pertama, bahkan jika kita sedang mengembangkan video game. Perangkat mobile platform yang kuat dan penyerang bisa mengeksploitasi mereka untuk berbagai keperluan, video game adalah vektor utama infeksi dan dapat digunakan dengan cara yang sederhana untuk mengumpulkan akses ke perangkat pengguna.
Di dunia app meningkat dengan cara mengesankan didorong oleh ledakan pasar ponsel, tapi kita tidak bisa melupakan bahwa aplikasi berjalan juga dalam konteks lain, seperti peralatan, karena alasan ini saya percaya bahwa perangkat lunak yang dihasilkan harus mengenali dan berbagi satu set minimal persyaratan yang berkaitan dengan keamanan ... Saya berharap bahwa di masa depan akan menjadi akses yang tidak begitu sederhana untuk data yang dikelola oleh aplikasi seperti Ruzzle.
0komentar:
Post a Comment