$
IT בישראל

מעבדות IBM בישראל חשפו פרצה ב-Apache Cordova

הפרצה מאיימת על יותר מ-5% מהאפליקציות הקיימות למכשירי אנדרואיד. ניתן לנצל את הפרצה על מנת לגנוב מידע ולשתול קוד זדוני באפליקציות

רפאל קאהאן 11:5207.09.14

חוקרי אבטחת יישומים בקבוצת X-Force Application Security Research של IBM, הפועלת בישראל, גילו פרצת אבטחה בפלטפורמת Apache Cordova (לשעבר – PhoneGap) המשמשת בעולם אפליקציות המובייל.

החוקרים, רועי חי ודוד קפלן, הציגו את הפרצה בכנס OWASP ישראל, שהתקיים בשבוע שעבר במרכז הבינתחומי בהרצליה. על פי ההערכה, הפרצה עלולה להשפיע על כ-5.8% מהאפליקציות הקיימות לסביבת אנדרואיד - כ-75,000 אלף אפליקציות.

 

מעבדות האבטחה של IBM בישראל חשפו פרצה בפלטפורמת Apache Cordova מעבדות האבטחה של IBM בישראל חשפו פרצה בפלטפורמת Apache Cordova

 

כמקובל בעולם מחקר האבטחה, הקפידה קבוצת X-Force של IBM להעביר דיווח מוקדם לצוות העומד מאחורי פיתוח מערכת קורדובה, ודחתה את הפרסום על הגילוי - עד לאחר שהובטחה זמינותו של עדכון או אמצעי הגנה מתאים. כתוצאה, שוחררה גירסה חדשה של קורדובה (3.5.1) ופורסמו הנחיות מתאימות למפתחים על ידי Apache.

 

ניתוח האבטחה של IBM מעלה כי בנסיבות מסוימות, ניתן לנצל את הפירצה מרחוק על מנת לגנוב מידע רגיש, דוגמת קבצי Cookies הקשורים ליישומים מבוססי קורדובה, באמצעות פיתוי הגולש להיכנס לאתר המכיל קוד זדוני הנחזה כאתר לגיטימי, או בדוא"ל המכיל לינק המפנה לאתר זדוני. הפרצה מאפשרת הזרקת קוד זדוני הכתוב ב- JavaScript לתוך אפליקציות מבוססות קורדובה. בנוסף, מסוגל קוד זה לשלוח מידע חזרה אל התוקפים.

 

קבוצת המו"פ של IBM הפועלת בהרצליה מפתחת טכנולוגיות לזיהוי אוטומטי של נקודות תורפה ביישומים מבוססי Web, ו-Mobile - הן באמצעות בחינת קוד המקור של יישומים אלה כבר בשלבי הפיתוח, והן באמצעות כלי בדיקה במהלך הרצת היישום בפועל. הקבוצה כוללת חוקרים בכירים, רבים מהם יוצאי יחידות עילית של צה"ל בתחום הטכנולוגיה.

בטל שלח
    לכל התגובות
    x