Anzeige

Hacker

Zahlreiche Anwendungen für Smartphones, Tablets und Co sind sehr anfällig für das Hacking der Web-APIs (Application Programming Interfaces). Millionen Nutzer sind möglicherweise von dieser Erkenntnis betroffen, wie Forscher der Texas A&M University in ihrer aktuellen wissenschaftlichen Untersuchung warnen.

Inkonsistenzen aufdecken

APIs dienen zum Austausch und der Weiterverarbeitung von Daten und Inhalten zwischen verschiedenen Websites, Programmen und Anbietern. Sie ermöglichen Dritten den Zugang zu Benutzerkreisen und Daten-Pools. Die Forscher haben für ihre Analyse rund 10.000 mobile Apps untersucht und dabei festgestellt, dass viele von ihnen offen für das Hacken der Web-API sind.

Der Grund für die Bedrohung liegt Studienautor Guofei Gu zufolge in den Inkonsistenzen, die bei Web-API-Implementierungen für mobile Apps häufig zwischen App- und Serverlogik auftreten. Die Researcher haben ein "WARDroid-Framework" erstellt, um die in der Studie analysierten Anwendungen zu inspizieren, wobei automatisch Erkundungen durchgeführt und die erwähnten Inkonsistenzen aufgedeckt werden. Dabei wurden statische Analysen verwendet und auch ermittelt, welche HTTP-Anfragen vom Server akzeptiert werden.

Shopping-Apps betroffen

Sobald ein möglicher Angreifer Informationen darüber hat, wie diese Anfragen in einer spezifischen mobilen Anwendung aussehen, kann er seine eigenen Aktionen ausführen, indem er einige Parameter optimiert. "Zum Beispiel könnte ein böswilliger User in einer unsicheren Shopping-App kostenlos einkaufen, indem er die Preise für die Produkte in seinem Einkaufswagen negativ macht. Dabei müssen bloß ein paar HTTP-Paramter verändert werden", erläutert Gu.

"Der Prozess sollte eigentlich in der App verboten sein, kann aber unglücklicherweise vom Server akzeptiert werden", resümiert Gu. Nach der Identifizierung vieler gefährlicher mobiler Apps und Server, die Millionen Nutzer betreffen, haben die Researcher mit den Entwicklern Kontakt aufgenommen, um ihnen dabei zu helfen, die Sicherheitslücken zu schließen.

www.pressetext.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Identität Abdruck

Mit der Blockchain zur sicheren digitalen Identität

Ob Shopping, Beratungsgespräch mit der Bank oder Kontakt mit der Verwaltung: auch durch die Corona-Krise haben sich immer mehr Alltagstätigkeiten in die digitale Welt verlagert. Dabei rückt eine Frage immer stärker in den Mittelpunkt: Wie kann man digital die…
Video erstellen

Ein Erklärvideo erstellen in einfachen Schritten

Jedes Unternehmen ist gerade am Werk, ein eigenes Erklärvideo zu erstellen. Diese Videos können nämlich dem Interessenten schnell und einfach erklären, worum es bei diesem Produkt geht. Häufig wird im Rahmen dieses Videos eine unangenehme Alltagssituation…
Industrie

TeamViewer und QSC entwickeln All-in-One-Lösung für das IIoT

Mit Technologie made in Germany kann die Industrie nun Bestandsmaschinen schnell und unkompliziert mit digitalen Sensoren ausrüsten und das Internet der Dinge realisieren. Entwickelt haben das IIoT Starter Kit für die Industrie 4.0 die beiden…
Video-Konferenz

Sharing is Caring – Warum Interoperabilität für Videokonferenzen so wichtig ist

Wie wäre es wohl, wenn man mit seinem iPhone ausschließlich andere iPhones kontaktieren und Freunde, Familie und Kollegen, die ein Android Telefon besitzen, gar nicht oder nur mithilfe eines teuren Zusatzprodukts erreichen könnte? Was bei Mobilfunkgeräten und…
Ransomware

Ransomware-Angriff zielt nach Jahren erstmals wieder auf MacOS-User

Die Sicherheitsforscher von Malwarebytes haben eine neue MacOS-Ransomware entdeckt. Die Ransomware EvilQuest ist nach KeRanger, Patcher und Mabouia die erst vierte Ransomware weltweit, die sich ausschließlich an MacOS-Benutzer richtet.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!