行业新闻与博客

根据本周公布的研究报告，基于云的后端服务让移动应用程序开发人员失望。即使应用程序开发人员小心自己的代码，他们使用的在线服务也会定期引入漏洞。

该研究来自佐治亚理工学院和俄亥俄州立大学，研究了 Google Play 商店中的前 5,000 个应用程序。它发现在他们之间，他们在全世界使用了 6,869 个服务器网络。

他们扫描了基于云的后端，发现了 1,638 个漏洞，其中 655 个漏洞未在国家漏洞数据库中列出。这些包括 SQL 注入，跨站点脚本和外部 xml 实体攻击。根据他们的论文，一些受影响的应用程序安装了超过 5000 万个。

移动应用程序使用第三方软件开发工具包（SDK）和 API 访问后端服务。开发人员明确地使用其中一些，但许多其他人隐藏在导入的第三方库中。使用这些服务的应用程序无形地与它们通信。当用户的应用获取内容和广告时，用户不知道服务正在做什么，或者确切地知道他们的电话正在与哪些服务器通信。

“由于基于云的后端固有的复杂性，安全地部署和维护它们具有挑战性。因此，移动应用程序开发人员在选择云基础架构，构建或租用这些后端时经常忽视审慎的安全实践，”研究人员表示。

他们补充说，这会使应用程序面临可能危及本地运行代码或泄漏用户数据的其他漏洞，引用了英国航空公司网站的妥协，该网站允许攻击者从应用程序中窃取数据。

研究人员使用名为 SkyWalker 的工具扫描了这些应用程序，他们很快就会让应用程序开发人员审核他们正在构建到应用程序中的基于云的工具。

他们将在 2019 年 8 月 14 日至 16 日在加利福尼亚州圣克拉拉举行的 USENIX 安全研讨会上展示他们的研究结果。

非常感谢您对亚洲注册的支持与信任！

禁止转载