Kerentanan Backend Ditemukan di 5.000 Aplikasi Android Gratis Teratas: Laporkan
Peneliti cybersecurity telah mengidentifikasi lebih dari 1.600 kerentanan dalam ekosistem dukungan di belakang 5.000 aplikasi gratis teratas yang tersedia di Internet Google Play Store.
Sementara para peneliti dari Institut Teknologi Georgia dan The Ohio State University hanya mempelajari aplikasi di Google Play Store, aplikasi yang dirancang untuk iOS dapat berbagi sistem backend yang sama.
Kerentanan ditemukan dalam sistem backend yang mengumpankan konten dan iklan ke aplikasi ponsel cerdas melalui jaringan server berbasis Cloud.
Kerentanan, yang memengaruhi berbagai kategori aplikasi, dapat memungkinkan peretas membobol basis data yang mencakup informasi pribadi – dan mungkin ke dalam perangkat seluler pengguna, kata studi yang dijadwalkan akan dipresentasikan pada Simposium Keamanan USENIX 2019 di AS pada Kamis.
"Kerentanan ini memengaruhi server yang ada di cloud, dan begitu penyerang masuk ke server, ada banyak cara mereka dapat menyerang," kata Brendan Saltaformaggio, Asisten Profesor di Sekolah Teknik Listrik dan Komputer Georgia Tech.
Para peneliti masih menyelidiki apakah penyerang bisa masuk ke perangkat seluler individu yang terhubung ke server rentan.
"Ini adalah pertanyaan yang sama sekali baru apakah mereka dapat melompat dari server ke perangkat pengguna, tetapi penelitian awal kami tentang hal itu sangat memprihatinkan," tambah Saltaformaggio.
Dalam studi mereka, para peneliti menemukan 983 contoh kerentanan yang diketahui dan 655 contoh kerentanan nol hari lainnya yang mencakup lapisan perangkat lunak – sistem operasi, layanan perangkat lunak, modul komunikasi, dan aplikasi web – dari sistem berbasis Cloud yang mendukung aplikasi.
Untuk membantu pengembang meningkatkan keamanan aplikasi seluler mereka, para peneliti telah menciptakan sistem otomatis yang disebut SkyWalker untuk memeriksa server Cloud dan sistem pustaka perangkat lunak.
SkyWalker dapat memeriksa keamanan server yang mendukung aplikasi seluler, yang sering dioperasikan oleh layanan Cloud hosting daripada pengembang aplikasi individual.
