2

Tuần này, chúng tôi có lỗ hổng trong ứng dụng điều khiển ô tô từ xa và đồng hồ hỗ trợ GPS. Chúng tôi cũng xem xét xu hướng bảo mật API trong microservices và kiến ​​trúc serverless và thiết bị điện tử tiêu dùng.

API Security Weekly: Sự cố số 27

Các lỗ hổng

MyCar là một hệ thống điều khiển từ xa được cài đặt trên một số xe ô tô dưới tên riêng của nó hoặc dưới nhiều nhãn hiệu khác nhau, chẳng hạn như Carlink, Linkr, Visions MyCar hoặc MyCar Kia. Hệ thống có một ứng dụng di động hiển thị vị trí xe của bạn và cho phép bạn khởi động và dừng xe từ xa hoặc khóa và mở xe. Không cần phải nói, tất cả điều này được thực hiện thông qua các API và  các API được đề cập có một lỗ hổng rất lớn . Các tài khoản người dùng cá nhân đã được tạo bằng lệnh gọi API được thực hiện bằng thông tin đăng nhập quản trị viên. Các thông tin xác thực này đã được mã hóa cứng bên trong ứng dụng dành cho thiết bị di động. Sau khi những kẻ tấn công có được thông tin đăng nhập quản trị từ mã, chúng có thể kiểm soát bất kỳ chiếc xe nào trong hệ thống.

Một chiếc đồng hồ hỗ trợ GPS khác, Tic Toc Track từ Úc,  hóa ra lại có lỗi bảo mật API . Vấn đề lại là Tham chiếu Đối tượng Trực tiếp Không an toàn (IDOR). Những kẻ tấn công có thể sử dụng bất kỳ tài khoản nào để có quyền truy cập vào các API. Sau đó, họ có thể chỉ cần liệt kê tham số ID khi thực hiện các lệnh gọi API. Không có kiểm tra ủy quyền, vì vậy mỗi ID mới đã cấp cho những kẻ tấn công quyền truy cập vào thiết bị của người dùng khác. Những kẻ tấn công có thể truy cập tất cả dữ liệu của bất kỳ người dùng nào (bao gồm vị trí, họ tên, số điện thoại ...), thay thế vị trí GPS được hiển thị, gọi đồng hồ, v.v.

Xem thêm các câu chuyện về lỗi bảo mật API trong các đồng hồ hỗ trợ GPS khác trong các số 7 , 18 , 1926 .

Kiến trúc không máy chủ

Microservices và kiến ​​trúc serverless đang dẫn đến sự gia tăng của các API. Họ cũng đang thay đổi bối cảnh của ứng dụng và bảo mật API. Ory Segal và Amit Klein đã công bố cuộc thảo luận của họ về ý nghĩa của điều này :

  • WAF không thể làm cho các ứng dụng không an toàn trở nên an toàn.
  • Bảo mật cần bắt đầu từ ngày 1.
  • Bản chất phân tán làm cho việc phân tích và bảo vệ trở nên khó khăn hơn, nhưng lại mang đến những cơ hội mới.

IoT và thiết bị tiêu dùng

Ngày nay, rất nhiều thiết bị tiêu dùng được quản lý bằng cách sử dụng các ứng dụng di động gọi API REST và kết nối thông qua WiFi gia đình và phần mềm phụ trợ đám mây. Andrew Useckas từ ThreatX viết về những rủi ro xuất hiện với cách tiếp cận này và cách giảm thiểu chúng :

  • Các cuộc tấn công chống lại chính các thiết bị
    • Thường tập trung vào nhận dạng thiết bị
    • Giải pháp : sử dụng các khóa bảo mật riêng lẻ
  • Các cuộc tấn công chống lại các API
    • Nổi lên vì các cuộc gọi đi qua internet
    • Tải trọng API JSON được sử dụng để bắt đầu tất cả các kịch bản tấn công API thông thường, chẳng hạn như chèn SQL, tập lệnh trang web chéo ...
    • Giải pháp : chú ý đến chất lượng định nghĩa dữ liệu cho các đầu vào (và đầu ra) API

Bạn có thể đăng ký nhận bản tin Bảo mật API hàng tuần tại https://APIsecurity.io .

|