Very recently, Siryan Electronic Army, hacked into Truecaller and then it was the turn of Tango – a video calling cross-platform chat application. The similarity in these hacks was “known WordPress Vulnerability”, both the organization provided mobile applications and both of them stored contact lists.
With increase in usage of smartphones along-with high-speed internet connections in form of 3G and 4G , organizations are coming out various utilities for smartphones, be it a game or a chat software or word-processing suite. Each and every application is more or less interested in accessing data which is stored on your mobile phone, however when it comes to desktops and laptops, this is not the case.
Couple of hack incidents and most of the users scramble to change their passwords , however not everyone knows about security breaches that have taken place. Only those who read about the security blogs of when these incidents get published in the print media, that one would realize how unsafe things have become.
Looking into the timeline of the vulnerability disclosure and the availability of patch by WordPress, I would say , hackers of SEA were much faster then the server admins of these two organizations. Overworked admins, know about a vulnerability but no down-time available, lots of reasons ; however, when it comes to coding related flaws, then it is the complexity of the bug which is the ultimate deciding factor.
With numerous organizations providing bug-bounty programs and based on the inputs received, patches are made available. Programs like these are a sure indicator of the stringent programming standards and the complexity of bugs which have escaped the eagle-eyed QA team.
Hacking incidents such as these are a bleak reminder of the days to come that nothing is safe.
However, what would you do if you found a bug with the authentication process of a mobile app. Sounds highly technical ? No, it is not.
A default Test Case ,for any cross platform mobile application will use the below mentioned steps to register the application and the user. One might say – SOP (Standard Operating Procedure)
1: Setup
2: Register
3: Provide Number and Email ID
4: Send Verification Code to Mobile Number
5: Verify the verification Code
6: Display the contacts
What would happen when Steps 4 and 5 are omitted ? Anyone can view the contact details, make calls to those in your contacts etc etc .
Anything like this exists? Yes. The organization has been notified and we just move ahead.
And the overall verdict, too many mobile applications, too many users, too many flaws – Security for Mobile Applications, it seems has taken a backseat. It also seems that, now the time has come for these organizations to provide “Opt-Out” for those, whose numbers are found in their databases and are not their customers/app-users.
Recientemente, las aplicaciones Truecaller y Tango sufrieron un ataque del Siryan Electronic Army. El detalle de los ataques era la vulnerabilidad WordPress conocida. Ambas aplicaciones almacenaron contactos.
Con el uso creciente de los celulares junto con la conexión de internet de 3G y 4G, las entidades están lanzando aplicaciones de juegos y chat. Cada aplicación tiene más o menos interés en tomando acceso a los datos que son almacenados en tu celular, sin embargo esto no es el caso con los laptops y computadores.
Los usuarios rápidamente cambian sus contraseñas cuando hay un ataque. La gente se da cuenta de que cómo las cosas no están protegidas una vez leyendo sobre un ataque que ha sido publicado en un blog de seguridad.
Leyendo sobre las vulnerabilidades por WordPress, puedo decir que los atacantes de SEA eran más rápidos en vez de los administradores de estas dos organizaciones.
Los parches son disponibles cuando se encuentra un bug o error en un programa que son proporcionados por muchas organizaciones. Estos tipos de programas indican las complejidades de bugs/errores que han escapado del equipo QA.
Que harías si encontraras un bug en una aplicación con el proceso de autenticación? Se suena muy técnica? No es.
Un caso de prueba utilizara este procedimiento a continuación para registrar la aplicación y el usuario. Una persona dirá – SOP (Procedimiento Operativo Estándar)
- Instalar
- Registrar
- Proporcionar Numero y dirección de correo electrónico
- Enviar Código de Verificación al número de móvil
- Verificar el Código de Verificación
- Demostrar los contactos
Que pasaría si se excluyeron los pasos 4 y 5? Cualquier persona puede ver los detalles de contactos, hacer llamadas etc.
Algo como esto existe? Si. La organización has sido notificado y nos avanzamos.
En conclusión, hay muchas aplicaciones de móviles, muchos usuarios y muchos errores – La seguridad para las aplicaciones en móviles, se ha quedado atrás. Ahora es el tiempo para que las organizaciones proporcionen la opción “Cancelar” para aquellos cuyos números se encuentran en sus bases de datos y que no son sus clientes o usuarios de aplicaciones.
One Comment
John
Excellent post. It is really very good and full of knowledge about mobile applicatoins. I was checking continuously this blog and I’m impressed! Very useful info specially the final phase. I used to be seeking this certain information for a long time. Thanks for sharing.