Artikel top billede

Alvorligt problem: Både Android og iOS har apps uden ordentlig kryptering

Den er helt gal med krypteringen af kommunikationen i alt for mange apps. Se her, hvor det typisk går galt.

Mens det lille hængelås-ikon i browseren efterhånden for alvor har slået igennem, så halter sikkerheden stadig noget mere i apps-verdenen.

Problemet med manglende kryptering af kommunikationen er nemlig til stede i alt for mange apps til både iOS og Android.

Nu kan sikkerhedssitet Threatpost dog berette om en øget opmærksomhed på Android-udviklere, der ikke har ordentlig styr på de sikre forbindelser.

Både Google og CERT er begyndt at scanne Google Play-butikken for apps, der ikke har styr på SSL-sikkerheden - og hammeren kan snart falde for dem, der sjusker, lyder det fra Threatpost.

Will Dormann, der er sikkerhedsforsker ved CERT på Carnegie Mellon University, kan afsløre, at ud af en million scannede apps havde 23.667 apps ikke styr på de sikre forbindelser.

Han fortæller samtidig, at app-udviklerne får besked, hvis deres app ikke lever op til de nødvendige og krævede sikkerhedsstandarder.

Samtidig har også Google sat fokus på problemet:

"Vi har sendt advarsler ud til udviklere, der ikke bruger krypterings-biblioteker på en fornuftig måde. Vi har planer om at blive mere strikse over i forhold til tvang," udtaler Adrian Ludwig, der arbejder med sikkerhed hos Google, til Threatpost.

Også iOS-apps ramt af problemer

Problemet med apps, der ikke verificerer en SSL-forbindelse, er, at brugeren dermed ikke kan være sikker på, at andre ikke læser med på kommunikationen, eller om det overhovedet er den ægte tjeneste/webside, man kommunikerer med. 

Ifølge Threatpost er SSL faktisk slået til som standard, når man udvikler apps til Android, men en del udviklere vælger at slå det fra af forskellige årsager.

Og det er ikke kun på Android, at langt fra alle apps er sikre nok, når det kommer til kryptering af kommunikationen.

Ars Technica skriver, at omkring 1.500 iOS-apps lige nu har en HTTPS-sårbarhed der gør det lettere for hackere at afkode ellers krypterede adgangskoder, bank-oplysninger og andre fortrolige informationer.

Det er SourceDNA, der står bag oplysninger, og det estimeres, at to millioner brugere har downloadet de pågældende apps.

Sårbarheden er opstået via en bug i open source kode-bilblioteket AFNetworking, som en del udviklere gør brug af, når de udvikler apps.

Derfor er der problemer med de sikre forbindelser

HTTPS bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Med HTTPS (Hypertext Transfer Protocol Secure) kan man hindre, at andre kigger med, når man indtaster fortrolige oplysninger. HTTPS har udviklet sig til en standard for sikker web-browsing i forening med SSL/TLS.

På det seneste har der dog været en diskussion om, hvorvidt HTTPS-modellen nu også er så sikker, som den gerne skulle være - og det gælder både browser-løsninger og altså apps.

Det svage punkt i modellen kan blandt andet være de CA'er (certificate authority), der kan udstede sikkerhedscertifikater.

Senest har Google meddelt, at der har været udstedt falske sikkerhedscertifikater til en række af Googles webdomæner.

Netop den manglende sikkerhed ved de virksomheder, der udsteder certifikaterne- der skal garantere den sikre forbindelse - har tidligere været kritiseret af sikkerhedsforskere.

Læs også:

Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikkert




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere