网络安全研究人员在Google Play商店的前5000个免费应用程序后面的支持生态系统中确定了超过1,600个漏洞。
虽然来自佐治亚州理工学院和俄亥俄州州立大学的研究人员只研究了Google Play商店的应用,但为iOS设计的应用程序可能分享相同的后端系统。
通过基于云的服务器网络在智能手机应用程序对智能手机应用程序提供内容和广告的后端系统中找到了漏洞。
影响多个应用类别的漏洞可能允许黑客闯入包括个人信息的数据库 - 也许进入用户的移动设备,表示,该研究计划于周四在美国的2019年Usenix安全研讨会上呈现。
“这些漏洞影响了云中的服务器,一旦攻击者在服务器上获取,他们就可以攻击许多方式,”格鲁吉亚科技学院电气计算机工程学院助理教授Brendan Saltaformaggio说。
研究人员仍在调查攻击者是否可以进入连接到易受攻击服务器的移动设备。
“它是一个全新的问题,无论他们是否可以从服务器跳到用户的设备,而是我们对这一点的初步研究非常有关,”Saltaformaggio添加了。
在他们的研究中,研究人员发现了983个已知漏洞实例,另一个655个零天漏洞实例跨越软件层 - 操作系统,软件服务,通信模块和Web应用程序 - 支持应用程序的基于云的系统。
为帮助开发人员提高移动应用程序的安全性,研究人员创建了一个名为SkyWalker的自动化系统,以验证云服务器和软件库系统。
SkyWalker可以检查支持移动应用程序的服务器的安全性,这些服务器通常由云托管服务而不是inpidual应用程序开发人员操作。