Téléphones intelligents, comprimés, iPads :les appareils mobiles sont devenus inestimables pour le consommateur de tous les jours. Mais peu considèrent les problèmes de sécurité qui surviennent lors de l'utilisation de ces appareils.

Les applications mobiles ou « applications » modernes utilisent des services d'interface de programmation d'applications (API) basés sur HTTP hébergés dans le cloud et dépendent fortement de l'infrastructure Internet pour la communication et le stockage des données. Pour améliorer les performances et tirer parti de la puissance de l'appareil mobile, la validation des entrées et les autres logiques métier requises pour l'interfaçage avec les services d'API Web sont généralement implémentées sur le client mobile. Cependant, lorsqu'une implémentation de service Web ne parvient pas à répliquer complètement la validation d'entrée, cela donne lieu à des incohérences qui pourraient conduire à des attaques pouvant compromettre la sécurité et la confidentialité des utilisateurs. Le développement de méthodes automatiques d'audit des API Web pour la sécurité reste un défi.

Dr Guofei Gu, professeur agrégé au Département d'informatique et d'ingénierie de la Texas A&M University et directeur du laboratoire SUCCESS, avec ses doctorants Abner Mendoza et Guangliang Yang, travaillent à lutter contre ces problèmes de sécurité.

Gu et son équipe ont analysé 10, 000 applications mobiles et a constaté que beaucoup d'entre elles sont ouvertes au piratage d'API Web, ce qui affecte potentiellement la confidentialité et la sécurité de dizaines de millions d'utilisateurs professionnels et de consommateurs dans le monde.

La racine de la menace réside dans les incohérences que l'on trouve souvent entre l'application et la logique du serveur dans les implémentations d'API Web pour les applications mobiles. L'équipe de Gu a créé le framework WARDroid pour explorer les applications, effectuer automatiquement des reconnaissances et découvrir ce genre d'incohérences, en utilisant l'analyse statique avec quels types de requêtes HTTP sont acceptées par le serveur. Une fois qu'un attaquant a les informations sur ce à quoi ressemblent ces requêtes, il ou elle peut effectuer ses propres actions en ajustant quelques paramètres.

A titre d'exemple simple, Gu explique dans une application/serveur d'achat vulnérable, un utilisateur malveillant pourrait acheter gratuitement en rendant certains des prix des articles dans le panier comme négatifs (en modifiant certains paramètres HTTP), ce qui ne devrait pas être autorisé par l'application mais peut malheureusement être accepté par le serveur.

Après avoir identifié de nombreuses applications/serveurs mobiles vulnérables du monde réel qui affectent des millions d'utilisateurs, L'équipe de Gu a communiqué avec les développeurs pour les aider à corriger les vulnérabilités. Leur document de recherche a été publié dans les actes du Symposium 2018 de l'Institute of Electrical and Electronics Engineers (IEEE) sur la sécurité et la confidentialité (S&P'18), l'une des conférences les plus prestigieuses en matière de cybersécurité.

Ce n'est qu'un exemple des recherches de Gu sur la sécurité des applications mobiles. Lors de la même conférence, l'équipe de Gu a présenté un autre document de recherche sur la sécurité des applications mobiles qui identifie un nouveau type de vulnérabilité nommé Origin Stripping Vulnerabilities (OSV) dans les applications mobiles hybrides modernes et présente une nouvelle solution d'atténuation sans OSV (qui est publiée en open source sur http://success.cse.tamu.edu/lab/osv-free.php).