Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Hacker

Zahlreiche Anwendungen für Smartphones, Tablets und Co sind sehr anfällig für das Hacking der Web-APIs (Application Programming Interfaces). Millionen Nutzer sind möglicherweise von dieser Erkenntnis betroffen, wie Forscher der Texas A&M University in ihrer aktuellen wissenschaftlichen Untersuchung warnen.

Inkonsistenzen aufdecken

APIs dienen zum Austausch und der Weiterverarbeitung von Daten und Inhalten zwischen verschiedenen Websites, Programmen und Anbietern. Sie ermöglichen Dritten den Zugang zu Benutzerkreisen und Daten-Pools. Die Forscher haben für ihre Analyse rund 10.000 mobile Apps untersucht und dabei festgestellt, dass viele von ihnen offen für das Hacken der Web-API sind.

Der Grund für die Bedrohung liegt Studienautor Guofei Gu zufolge in den Inkonsistenzen, die bei Web-API-Implementierungen für mobile Apps häufig zwischen App- und Serverlogik auftreten. Die Researcher haben ein "WARDroid-Framework" erstellt, um die in der Studie analysierten Anwendungen zu inspizieren, wobei automatisch Erkundungen durchgeführt und die erwähnten Inkonsistenzen aufgedeckt werden. Dabei wurden statische Analysen verwendet und auch ermittelt, welche HTTP-Anfragen vom Server akzeptiert werden.

Shopping-Apps betroffen

Sobald ein möglicher Angreifer Informationen darüber hat, wie diese Anfragen in einer spezifischen mobilen Anwendung aussehen, kann er seine eigenen Aktionen ausführen, indem er einige Parameter optimiert. "Zum Beispiel könnte ein böswilliger User in einer unsicheren Shopping-App kostenlos einkaufen, indem er die Preise für die Produkte in seinem Einkaufswagen negativ macht. Dabei müssen bloß ein paar HTTP-Paramter verändert werden", erläutert Gu.

"Der Prozess sollte eigentlich in der App verboten sein, kann aber unglücklicherweise vom Server akzeptiert werden", resümiert Gu. Nach der Identifizierung vieler gefährlicher mobiler Apps und Server, die Millionen Nutzer betreffen, haben die Researcher mit den Entwicklern Kontakt aufgenommen, um ihnen dabei zu helfen, die Sicherheitslücken zu schließen.

www.pressetext.com
 

GRID LIST
KI

KI-Startups in Deutschland im Überblick

275 Startups mit künstlicher Intelligenz (KI) als Kernelement des Geschäftsmodells haben…
Streaming Problem

Gericht zu "StreamOn": Telekom verstößt gegen Netzneutralität

Unterwegs Videos oder Musik streamen, ohne dass das monatliche Datenvolumen schrumpft -…
Cyber Crime

e-Crime: Angriff der Unbekannten

39 Prozent der für die KPMG-Studie "e-Crime in der deutschen Wirtschaft" befragten…
Business People

Mitarbeiter-Feedback macht Unternehmen stark

Beschäftigte, die über Ziele geführt werden und häufiger Feedback zur eigenen Leistung…
5G

5G wird in Europa verhalten starten

2025 werden laut GSMA 29 Prozent aller Mobilfunkverbindungen in Europa über 5G-Netze…
Cyber Security

Bund will mehr Cybersicherheit - neuer Standort für Bundesamt

Cyberangriffe im Netz gehören inzwischen zum Alltag. Vor allem Attacken auf wichtige…