Artikel top billede

(Foto: PC World)

Kendte gratis Android-apps kan hugge dine passwords

Flere sårbarheder i Android-apps og selve Android-systemet kan gøre det risikabelt at hente apps med bind for øjnene. Læs her, hvad risikoen er, og hvordan du kan imødegå den.

Sikkerheden i Android-systemet er under pres for tiden.

For ikke nok med, at den frygtede Stagefright-sårbarhed florerer med mulighed for, at uvedkommende kan overtage din telefon.

Flere af de mest populære Android-apps kan risikere at udlevere dine passwords, billeder og andre informationer. 

Det fortæller sikkerhedsekspert Jens Christian Høy Monrad fra sikkerhedsfirmaet FireEye til Computerworld.

674 sårbare top-apps 
Sidste år fandt FireEye frem til, at 674 af de 1.000 mest downloadede gratis apps i Google-butikken har større eller mindre sikkerhedsudfordringer i den måde, som de tilgår bagvedliggende webservices på, der igen åbner for såkaldte man-in-the-middle-angreb.

Eller sagt på en anden måde:

Når du benytter en app, kan den sende informationer ukrypteret, som it-kriminelle kan kigge med i og derefter få adgang til dine billeder, passwords og beskeder.

"De apps, vi har kigget på, har alle en eller anden form for cloud-kommunikation til en remote server, hvor udviklerne i flere tilfælde har benyttet sig af tredjepart-libraries, eksempelvis reklame-libraries, som ikke altid er lige sikre," forklarer Jens Christian Høy Monrad.

Et library - eller bibliotek på dansk - er en samling af allerede programmerede enheder, som en udvikler kan benytte sig af i sin app-udvikling for at spare tid.

Så når Jens Christian Høy Monrad nævner reklame-libraries, er det simpelthen allerede udviklede metoder til at få reklamer ind på de gratis apps på. 

Tre SSL-sårbarheder

Opsnapningen af oplysninger fra en Android-mobil kan ifølge sikkerhedseksperten foregå via tre typiske sårbarheder i den måde, som eksempelvis brugerdata, billeder, passwords og backup-forespørgler bliver sendt over netværket på.

"Først og fremmest kigger flere libraries ikke på tilliden til sikkerhedscertifikatet i SSL-kommunikationen med cloud-serveren," siger han om den mest udbredte sårbarhed.

Det betyder, at der kan være benyttet et sikkerhedscertifikat til cloud-servicen, som reelt ikke er gyldigt.

Dernæst nævner han, at libraries kan ignorere SSL-fejl som eksempelvis, at sikkerhedscertifikatet er udløbet.

"Det kender du måske fra hjemmesider, der advarer dig om et måske-usikkert sikkerhedscertifikat, hvor mange bare trykker på at ignorere advarslen," lyder det fra Jens Christian Høy Monrad.

Den tredje og mindst udbredte sårbarhed er, at biblioteket ikke verificerer, om det reelt kommunikerer med den rigtige hjemmeside - det som Jens Christian Høy Monrad kalder for manglende host-name verifyer.

"I mange tilfælde benytter apps sig af eksempelvis SSL til login og valideringsprocessen af en bruger, men efterfølgende ser vi kommunikationen ske i klar-tekst via HTTP, hvilket heller ikke er sikker," nævner han.

Skumle apps sladrer

Udover disse tre sårbarheder omkring SSL-kommunikationen mellem apps og bagvedliggende cloud-services påpeger sikkerhedseksperten, at der en anden stor sikkerhedsudfordring i Android-systemets måde at gemme såkaldte tokens på.

En token er data om brugeren, som (desværre) også kan kapres via en fil i ældre Android-versioner.

"Udover at koble sig til app'ens cloud service via en sikker HTTPS-forbindelse, bliver informationer om eksempelvis user-id gemt i Logcat, der er en lokal fil i et Android-system, som alle apps kigger ned i. Hvis du så har en skummel lommelygte-app, kan den læse med og sende informationerne til kriminelle bagmænd," forklarer Jens Christian Høy Monrad.

Her tilføjer sikkerhedseksperten, at Google har fikset denne tilgang til fælles app-filer fra version 4.1 (Jelly Bean) og op, hvilket derfor er en rigtig god ide at opgradere til. 

"På 'rootede' enheder kan applikationerne dog benytte andre metoder til at få læseadgang, da root-processen fjerner en række sikkerhedsmekanismer," advarer Jens Christian Høy Monrad de Android-brugere, der har haft lyst til at pille og personificere deres telefoner. 

Lidt dovne udviklere

Samtidig siger han, at mange af de brugte app-libraries ikke benytter tidsspærringer og sletning af gamle tokens, hvilket ellers kunne reducere problemstillingen væsentligt.

"Problemet med tidsubegrænsede og gamle tokens er, at en man-in-the-middle kan kigge i Logcat-filen og overtage sessioner, og derved reelt få adgang til brugernavne, passwords og andre ting, der ligger i Logcat-filen," siger Jens Christian Høy Monrad.

"Disse problemstillinger kunne man relativt nemt styre uden om, hvis man programmerede sine apps til, at telefonen under en session skulle validere sig selv mod cloud-servicen. Men hvis jeg skal være helt ærlig, så er programmørerne måske lidt dovne, når de ikke benytter helt sikre libraries," fortsætter han.

Hvad kan du gøre?

Sikkerhedseksperten nævner, at en app som fotoprogrammet Camera360 er en af de mange sårbare apps, der er i farezonen for at blive udsat for ovenstående trusler.

Ifølge Google Play-butikken er Camera360 hentet et sted mellem 10 millioner og 50 millioner gange,

Her kan du gå i dybden med FireEyes analyse af, hvordan alle de nævnte sårbarheder kan ramme en Camera360-bruger. 

Den dårlige nyhed til Android-brugerne er, at de stort set ikke kan gøre noget ved problemstillingen.

Det skyldes, at sårbarhederne ligger i den måde, som Android-systemet er skruet sammen på og i den måde, som apps er programmeret og deres kommunikation med diverse cloudservices.

"Derfor skal man som altid benytte sin sunde fornuft, når man henter apps. Blandt andet skal du kigge grundigt på, hvad en given app skal have adgang til på din telefon. En lommelygte-app behøver jo ikke adgang til alt muligt," siger Jens Christian Høy Monrad.

Et andet råd fra sikkerhedseksperten er at undersøge, om du kan og skal hive anti-malware ned på din telefon, hvilket du kan finde inspiration til i denne artikel.

Google fejler i stor sikkerhedsopdatering - din Android-telefon kan være i fare


Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon

Nu kommer næste version af Android: Her er Marshmallow




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI & machine learning i dagligdagen – teknologi og best practice

Kunstig intelligens og machine learning er i gang med at forandre de måder, som vi arbejder på i organisationer og virksomheder - både i det store og i det små. Bliv inspireret til hvordan kan du selv udnytte dem til at gøre din organisation klogere, skarpere og mere effektiv.

06. december 2022 | Læs mere


ERP løsninger til SMV segmentet

For små og mellemstore virksomheder gemmer der sig meget store muligheder for effektivisering og data-udnyttelse i valget af ERP-system. Med det rigtige valg kan man udnytte eksempelvis machine learning, AI, procesautomatisering og meget andet på tværs af hele organisationen til blandt andet lagerstyring, produktion, distribution, intelligent afrapportering.

07. december 2022 | Læs mere


Identity & Access Management - sådan holder du din virksomhed sikker

God styring af brugerrettigheder er en af de mest effektive måder til at højne it-sikkerheden. For det kan hurtigt gå galt, hvis system-rettigheder, system-adgang og lignende ikke hele tiden opdateres. Kom og hør om erfaringer og muligheder til hurtigt og nemt hele tiden at sikre, at der er styr på brugerrettighederne i hele din organisation- også uden at genere brugerne.

08. december 2022 | Læs mere