Parse:专为移动应用提供后台服务的云平台
Parse是由 YC 孵化出来的、专为移动应用提供后台服务的云计算平台,为开发者包办繁琐的后台服务,让开发者只需专注于具体的开发工作。它提供任意数据保存、照片或其它文件存储、发送推送通知、创建用户帐号、使用地理位置数据、添加 Facebook/Twitter 帐号登陆等等服务。
Parse向移动端开发者提供了许多实用的功能,比如云数据存储,推送通知,使用情况报告,崩溃日志统计,代码托管,后台作业以及其他一些功能。相对于提供的这些功能来说,本文比较在意的是云计算的核心,云数据存储。
所有的云数据都是存储在所谓的定制类目中(普通的数据类表)
或许正是Parse这种简单的产品体验,让开发者遗忘了安全问题以及漏洞。
Parse安全性分析
你可以给这些类目设置不同的客户端权限:GET, FIND, UPDATE, CREATE, DELETE ,ADD FIELDS。在默认情况下所有都是公开的。当然,大多数开发者在配置表的时候往往都忽视了这一点。
我在Parse平台上有一个项目,在配置AOLs上面花费了大量时间,所以我十分感兴趣其他开发者是如何配置他们在Parse上的账户的。
有一对密钥是用来连接Parse账户与手机应用:Application ID 和 Client Key. 为了对云数据进行操作,我们必须找到这些密钥。这就让我们使用idb(一款令人惊艳的IOS渗透测试程序)[https://github.com/dmayer/idb]—破解应用的二进制文件吧。在解密过程中,我们可以检查下NSUserDefaults(一个常见的存储这些数据的地方)
正如你看到的,没有任何收获。让我们回到破解应用二进制文件的地方,使用Hopper(一款反汇编软件)我们将从一个应用中寻找到Parse的密钥
正如我们之前预料的,连接Parse的密钥就在这里。接下来我们将分析Parse数据结构以及客户权限。
下一步就是识别Parse的表名。实际上,我们在前面那张截图中就已经找到ClientKey了,这里有想当多的registerSubclass函数调用。每个类都有一个parseClassName函数用来返回一个对应的Parse表名。
我们这就来看看这些表的结构吧:
PFQuery *query =[PFQuery queryWithClassName:@"ParseClassName"]; [queryfindObjectsInBackgroundWithBlock:^(NSArray *objects, NSError *error) { NSLog(@"%@", objects); }];
我们尝试获取访问许可,确定如何影响应用的运行状况。需要我们做的是向Parse提交一个查询,并分析其返回结果。为此,我写了一个小工具 ParseRevealer[https://github.com/igrekde/ParseRevealer]简化了一些操作,使得整个过程更加的方便快捷。
从权限列表中我们可以得知,开发者尝试将产品做的更安全,但是这点还是不够。这里就展示一下我们可以实现操纵的ChatMessage类。
一个十分危险的漏洞是攻击者可任意修改聊天内容:
PFQuery *query = [PFQuery queryWithClassName:@"ChatMessage"]; [query whereKey:@"message" equalTo:@"Привет, Хабр!"]; [query findObjectsInBackgroundWithBlock:^(NSArray *objects, NSError *error) { PFObject *object = [objects firstObject]; object[@"message"] = @"Хабр, я тебя ненавижу!"; [object saveInBackground]; }];
更严重的漏洞在于错误的数据映射算法,造成可以遍历所有聊天信息。由于,不填写发件人字段,应用就会崩溃。如果发送一个无效的聊天信息,当有人打开聊天窗口的时候就会崩溃。
何为业界良心
当你发现你安装的应用存在这些问题,不要责怪Parse,它仅仅是为开发者节约了后端开发的成本,一切的一切都全凭开发者的良心!
[参考来源infosecinstitute,翻译/鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]