Smartphone, compresse, iPad:i dispositivi mobili sono diventati preziosi per il consumatore quotidiano. Ma pochi considerano i problemi di sicurezza che si verificano quando si utilizzano questi dispositivi.

Le moderne applicazioni mobili o "app" utilizzano servizi API (Application Programming Interface) basati su HTTP ospitati nel cloud e si affidano fortemente all'infrastruttura Internet per la comunicazione e l'archiviazione dei dati. Per migliorare le prestazioni e sfruttare la potenza del dispositivo mobile, la convalida dell'input e altre logiche di business necessarie per l'interfacciamento con i servizi API Web sono in genere implementate sul client mobile. Però, quando un'implementazione di un servizio Web non riesce a replicare completamente la convalida dell'input, dà luogo a incongruenze che potrebbero portare ad attacchi che possono compromettere la sicurezza e la privacy degli utenti. Lo sviluppo di metodi automatici di controllo delle API Web per la sicurezza rimane impegnativo.

Dott. Guofei Gu, professore associato presso il Dipartimento di Informatica e Ingegneria della Texas A&M University e direttore del laboratorio SUCCESS, insieme ai suoi studenti di dottorato Abner Mendoza e Guangliang Yang, stanno lavorando per combattere questi problemi di sicurezza.

Gu e il suo team hanno analizzato 10, 000 app mobili e hanno scoperto che molte di esse sono aperte al dirottamento delle API Web, qualcosa che potenzialmente influisce sulla privacy e sulla sicurezza di decine di milioni di utenti aziendali e consumatori in tutto il mondo.

La radice della minaccia risiede nelle incongruenze che si riscontrano spesso tra la logica dell'app e del server nelle implementazioni dell'API Web per le app mobili. Il team di Gu ha creato il framework WARDroid per eseguire la scansione delle applicazioni, effettuando automaticamente ricognizioni e scoprendo questo tipo di incongruenze, utilizzando l'analisi statica insieme ai tipi di richieste HTTP accettate dal server. Una volta che un utente malintenzionato ha le informazioni sull'aspetto di queste richieste, lui o lei può svolgere le proprie azioni modificando alcuni parametri.

Come semplice esempio, Gu spiega in un'app/server per lo shopping vulnerabile, un utente malintenzionato potrebbe acquistare gratuitamente rendendo negativi alcuni dei prezzi degli articoli nel carrello (con la modifica di alcuni parametri HTTP), che non dovrebbe essere consentito dall'app ma purtroppo può essere accettato dal server.

Dopo aver identificato molte app/server mobili del mondo reale vulnerabili che colpiscono milioni di utenti, Il team di Gu ha comunicato con gli sviluppatori per aiutarli a correggere le vulnerabilità. Il loro documento di ricerca è stato pubblicato negli atti del 2018 Institute of Electrical and Electronics Engineers (IEEE) Symposium on Security &Privacy (S&P'18), una delle conferenze più prestigiose nel campo della sicurezza informatica.

Questo è solo un esempio della ricerca di Gu sulla sicurezza delle app mobili. Alla stessa conferenza il team di Gu ha avuto un altro documento di ricerca sulla sicurezza delle app mobili che identifica un nuovo tipo di vulnerabilità denominata Origin Stripping Vulnerabilities (OSV) nelle moderne app mobili ibride e introduce una nuova soluzione di mitigazione OSV-Free (rilasciata come open source su http://success.cse.tamu.edu/lab/osv-free.php).