Artikel top billede

Kendte gratis Android-apps kan hugge dine passwords

Flere sårbarheder i Android-apps og selve Android-systemet kan gøre det risikabelt at hente apps med bind for øjnene. Læs her, hvad risikoen er, og hvordan du kan imødegå den.

Sikkerheden i Android-systemet er under pres for tiden.

For ikke nok med, at den frygtede Stagefright-sårbarhed florerer med mulighed for, at uvedkommende kan overtage din telefon.

Flere af de mest populære Android-apps kan risikere at udlevere dine passwords, billeder og andre informationer. 

Det fortæller sikkerhedsekspert Jens Christian Høy Monrad fra sikkerhedsfirmaet FireEye til Computerworld.

674 sårbare top-apps 
Sidste år fandt FireEye frem til, at 674 af de 1.000 mest downloadede gratis apps i Google-butikken har større eller mindre sikkerhedsudfordringer i den måde, som de tilgår bagvedliggende webservices på, der igen åbner for såkaldte man-in-the-middle-angreb.

Eller sagt på en anden måde:

Når du benytter en app, kan den sende informationer ukrypteret, som it-kriminelle kan kigge med i og derefter få adgang til dine billeder, passwords og beskeder.

"De apps, vi har kigget på, har alle en eller anden form for cloud-kommunikation til en remote server, hvor udviklerne i flere tilfælde har benyttet sig af tredjepart-libraries, eksempelvis reklame-libraries, som ikke altid er lige sikre," forklarer Jens Christian Høy Monrad.

Et library - eller bibliotek på dansk - er en samling af allerede programmerede enheder, som en udvikler kan benytte sig af i sin app-udvikling for at spare tid.

Så når Jens Christian Høy Monrad nævner reklame-libraries, er det simpelthen allerede udviklede metoder til at få reklamer ind på de gratis apps på. 

Tre SSL-sårbarheder

Opsnapningen af oplysninger fra en Android-mobil kan ifølge sikkerhedseksperten foregå via tre typiske sårbarheder i den måde, som eksempelvis brugerdata, billeder, passwords og backup-forespørgler bliver sendt over netværket på.

"Først og fremmest kigger flere libraries ikke på tilliden til sikkerhedscertifikatet i SSL-kommunikationen med cloud-serveren," siger han om den mest udbredte sårbarhed.

Det betyder, at der kan være benyttet et sikkerhedscertifikat til cloud-servicen, som reelt ikke er gyldigt.

Dernæst nævner han, at libraries kan ignorere SSL-fejl som eksempelvis, at sikkerhedscertifikatet er udløbet.

"Det kender du måske fra hjemmesider, der advarer dig om et måske-usikkert sikkerhedscertifikat, hvor mange bare trykker på at ignorere advarslen," lyder det fra Jens Christian Høy Monrad.

Den tredje og mindst udbredte sårbarhed er, at biblioteket ikke verificerer, om det reelt kommunikerer med den rigtige hjemmeside - det som Jens Christian Høy Monrad kalder for manglende host-name verifyer.

"I mange tilfælde benytter apps sig af eksempelvis SSL til login og valideringsprocessen af en bruger, men efterfølgende ser vi kommunikationen ske i klar-tekst via HTTP, hvilket heller ikke er sikker," nævner han.

Skumle apps sladrer

Udover disse tre sårbarheder omkring SSL-kommunikationen mellem apps og bagvedliggende cloud-services påpeger sikkerhedseksperten, at der en anden stor sikkerhedsudfordring i Android-systemets måde at gemme såkaldte tokens på.

En token er data om brugeren, som (desværre) også kan kapres via en fil i ældre Android-versioner.

"Udover at koble sig til app'ens cloud service via en sikker HTTPS-forbindelse, bliver informationer om eksempelvis user-id gemt i Logcat, der er en lokal fil i et Android-system, som alle apps kigger ned i. Hvis du så har en skummel lommelygte-app, kan den læse med og sende informationerne til kriminelle bagmænd," forklarer Jens Christian Høy Monrad.

Her tilføjer sikkerhedseksperten, at Google har fikset denne tilgang til fælles app-filer fra version 4.1 (Jelly Bean) og op, hvilket derfor er en rigtig god ide at opgradere til. 

"På 'rootede' enheder kan applikationerne dog benytte andre metoder til at få læseadgang, da root-processen fjerner en række sikkerhedsmekanismer," advarer Jens Christian Høy Monrad de Android-brugere, der har haft lyst til at pille og personificere deres telefoner. 

Lidt dovne udviklere

Samtidig siger han, at mange af de brugte app-libraries ikke benytter tidsspærringer og sletning af gamle tokens, hvilket ellers kunne reducere problemstillingen væsentligt.

"Problemet med tidsubegrænsede og gamle tokens er, at en man-in-the-middle kan kigge i Logcat-filen og overtage sessioner, og derved reelt få adgang til brugernavne, passwords og andre ting, der ligger i Logcat-filen," siger Jens Christian Høy Monrad.

"Disse problemstillinger kunne man relativt nemt styre uden om, hvis man programmerede sine apps til, at telefonen under en session skulle validere sig selv mod cloud-servicen. Men hvis jeg skal være helt ærlig, så er programmørerne måske lidt dovne, når de ikke benytter helt sikre libraries," fortsætter han.

Hvad kan du gøre?

Sikkerhedseksperten nævner, at en app som fotoprogrammet Camera360 er en af de mange sårbare apps, der er i farezonen for at blive udsat for ovenstående trusler.

Ifølge Google Play-butikken er Camera360 hentet et sted mellem 10 millioner og 50 millioner gange,

Her kan du gå i dybden med FireEyes analyse af, hvordan alle de nævnte sårbarheder kan ramme en Camera360-bruger. 

Den dårlige nyhed til Android-brugerne er, at de stort set ikke kan gøre noget ved problemstillingen.

Det skyldes, at sårbarhederne ligger i den måde, som Android-systemet er skruet sammen på og i den måde, som apps er programmeret og deres kommunikation med diverse cloudservices.

"Derfor skal man som altid benytte sin sunde fornuft, når man henter apps. Blandt andet skal du kigge grundigt på, hvad en given app skal have adgang til på din telefon. En lommelygte-app behøver jo ikke adgang til alt muligt," siger Jens Christian Høy Monrad.

Et andet råd fra sikkerhedseksperten er at undersøge, om du kan og skal hive anti-malware ned på din telefon, hvilket du kan finde inspiration til i denne artikel.

Google fejler i stor sikkerhedsopdatering - din Android-telefon kan være i fare


Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon

Nu kommer næste version af Android: Her er Marshmallow




IT-JOB
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere