Kendte gratis Android-apps kan hugge dine passwords

Flere sårbarheder i Android-apps og selve Android-systemet kan gøre det risikabelt at hente apps med bind for øjnene. Læs her, hvad risikoen er, og hvordan du kan imødegå den.

Sikkerheden i Android-systemet er under pres for tiden.

For ikke nok med, at den frygtede Stagefright-sårbarhed florerer med mulighed for, at uvedkommende kan overtage din telefon.

Flere af de mest populære Android-apps kan risikere at udlevere dine passwords, billeder og andre informationer. 

Det fortæller sikkerhedsekspert Jens Christian Høy Monrad fra sikkerhedsfirmaet FireEye til Computerworld.

674 sårbare top-apps 
Sidste år fandt FireEye frem til, at 674 af de 1.000 mest downloadede gratis apps i Google-butikken har større eller mindre sikkerhedsudfordringer i den måde, som de tilgår bagvedliggende webservices på, der igen åbner for såkaldte man-in-the-middle-angreb.

Eller sagt på en anden måde:

Når du benytter en app, kan den sende informationer ukrypteret, som it-kriminelle kan kigge med i og derefter få adgang til dine billeder, passwords og beskeder.

"De apps, vi har kigget på, har alle en eller anden form for cloud-kommunikation til en remote server, hvor udviklerne i flere tilfælde har benyttet sig af tredjepart-libraries, eksempelvis reklame-libraries, som ikke altid er lige sikre," forklarer Jens Christian Høy Monrad.

Et library - eller bibliotek på dansk - er en samling af allerede programmerede enheder, som en udvikler kan benytte sig af i sin app-udvikling for at spare tid.

Så når Jens Christian Høy Monrad nævner reklame-libraries, er det simpelthen allerede udviklede metoder til at få reklamer ind på de gratis apps på. 

Tre SSL-sårbarheder
Opsnapningen af oplysninger fra en Android-mobil kan ifølge sikkerhedseksperten foregå via tre typiske sårbarheder i den måde, som eksempelvis brugerdata, billeder, passwords og backup-forespørgler bliver sendt over netværket på.

"Først og fremmest kigger flere libraries ikke på tilliden til sikkerhedscertifikatet i SSL-kommunikationen med cloud-serveren," siger han om den mest udbredte sårbarhed.

Det betyder, at der kan være benyttet et sikkerhedscertifikat til cloud-servicen, som reelt ikke er gyldigt.

Dernæst nævner han, at libraries kan ignorere SSL-fejl som eksempelvis, at sikkerhedscertifikatet er udløbet.

"Det kender du måske fra hjemmesider, der advarer dig om et måske-usikkert sikkerhedscertifikat, hvor mange bare trykker på at ignorere advarslen," lyder det fra Jens Christian Høy Monrad.

Den tredje og mindst udbredte sårbarhed er, at biblioteket ikke verificerer, om det reelt kommunikerer med den rigtige hjemmeside - det som Jens Christian Høy Monrad kalder for manglende host-name verifyer.

"I mange tilfælde benytter apps sig af eksempelvis SSL til login og valideringsprocessen af en bruger, men efterfølgende ser vi kommunikationen ske i klar-tekst via HTTP, hvilket heller ikke er sikker," nævner han.

Skumle apps sladrer
Udover disse tre sårbarheder omkring SSL-kommunikationen mellem apps og bagvedliggende cloud-services påpeger sikkerhedseksperten, at der en anden stor sikkerhedsudfordring i Android-systemets måde at gemme såkaldte tokens på.

En token er data om brugeren, som (desværre) også kan kapres via en fil i ældre Android-versioner.

"Udover at koble sig til app'ens cloud service via en sikker HTTPS-forbindelse, bliver informationer om eksempelvis user-id gemt i Logcat, der er en lokal fil i et Android-system, som alle apps kigger ned i. Hvis du så har en skummel lommelygte-app, kan den læse med og sende informationerne til kriminelle bagmænd," forklarer Jens Christian Høy Monrad.

Her tilføjer sikkerhedseksperten, at Google har fikset denne tilgang til fælles app-filer fra version 4.1 (Jelly Bean) og op, hvilket derfor er en rigtig god ide at opgradere til. 

"På 'rootede' enheder kan applikationerne dog benytte andre metoder til at få læseadgang, da root-processen fjerner en række sikkerhedsmekanismer," advarer Jens Christian Høy Monrad de Android-brugere, der har haft lyst til at pille og personificere deres telefoner. 

Lidt dovne udviklere
Samtidig siger han, at mange af de brugte app-libraries ikke benytter tidsspærringer og sletning af gamle tokens, hvilket ellers kunne reducere problemstillingen væsentligt.

"Problemet med tidsubegrænsede og gamle tokens er, at en man-in-the-middle kan kigge i Logcat-filen og overtage sessioner, og derved reelt få adgang til brugernavne, passwords og andre ting, der ligger i Logcat-filen," siger Jens Christian Høy Monrad.

"Disse problemstillinger kunne man relativt nemt styre uden om, hvis man programmerede sine apps til, at telefonen under en session skulle validere sig selv mod cloud-servicen. Men hvis jeg skal være helt ærlig, så er programmørerne måske lidt dovne, når de ikke benytter helt sikre libraries," fortsætter han.

Hvad kan du gøre?
Sikkerhedseksperten nævner, at en app som fotoprogrammet Camera360 er en af de mange sårbare apps, der er i farezonen for at blive udsat for ovenstående trusler.

Ifølge Google Play-butikken er Camera360 hentet et sted mellem 10 millioner og 50 millioner gange,

Her kan du gå i dybden med FireEyes analyse af, hvordan alle de nævnte sårbarheder kan ramme en Camera360-bruger. 

Den dårlige nyhed til Android-brugerne er, at de stort set ikke kan gøre noget ved problemstillingen.

Det skyldes, at sårbarhederne ligger i den måde, som Android-systemet er skruet sammen på og i den måde, som apps er programmeret og deres kommunikation med diverse cloudservices.

"Derfor skal man som altid benytte sin sunde fornuft, når man henter apps. Blandt andet skal du kigge grundigt på, hvad en given app skal have adgang til på din telefon. En lommelygte-app behøver jo ikke adgang til alt muligt," siger Jens Christian Høy Monrad.

Et andet råd fra sikkerhedseksperten er at undersøge, om du kan og skal hive anti-malware ned på din telefon, hvilket du kan finde inspiration til i denne artikel.

Læs også: 
Google fejler i stor sikkerhedsopdatering - din Android-telefon kan være i fare

Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon

Nu kommer næste version af Android: Her er Marshmallow




IT-JOB
Se flere it-job hos
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI og machine learning i praksis: Fokus på teknologi og best practice

Vi kender til kunstig intelligens og machine learning, men hvordan udnytter vi dem i praksis? Hør om de aktuelle erfaringer med AI og machine learning, og bliv endnu klogere på fremtidens mulige tendenser, når det kommer til AI og machine learning.

02. marts 2021 | Læs mere


It-sikkerhedskontroller og -processer (How to)

Flere organisationer end nogensinde før bliver udsat for cyberangreb af hackere, der hele tiden finder nye veje og metoder, som de kan udnytte til at trænge ind i virksomhedernes systemer. På dette event kigger vi nærmere på, hvordan man opsætter de nødvendige it-sikkerhedskontroller og gør god brug af eksempelvis incident response, log management, penetrationstesting, awareness-træning, sikkerhedsopsætning og meget andet.

03. marts 2021 | Læs mere


Roundtable: Start opgøret med kompleksitet og det manglende overblik: Få styr på mulighederne og planen

Overblik og kompleksitet er derfor i fokus på dette digitale roundtable, hvor vi deler erfaringer fra digitale ledere i danske virksomheder. Her kan du blandt andet kan høre om, hvordan du bedst muligt sikrer dig overblik og reducerer kompleksiteten af dine it-systemer.

09. marts 2021 | Læs mere





mest debatterede artikler

Premium
Claus Thorsgaard færdig som topchef for Conscia: Afløser er allerede på plads
Koncendirektør i Conscia Claus Thorsgaard stopper som topchef for den danske it-virksomhed. Det har bestyrelsesformand Morten Hübbe besluttet, og har samtidig allerede en afløser på plads.
Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Ryk SAP-workloads i skyen – og tag alle de kendte fordele med
SAP-kunder verden over har gennem de seneste 15 år draget fordel af løsninger baseret på NetApps ONTAP-data management-platform. Herunder en mere sikker og stabil drift samt forenklet administration, hvilket er afgørende for at gennemføre projekter effektivt og for at reducere deres risikoprofil. Gennem de seneste år er det i høj grad også blevet muligt at rykke SAP-workloads i skyen, og det ønsker mange virksomheder rimeligvis at drage fordel af – men uden at sige farvel til mulighederne med NetApp ONTAP. I dette whitepaper stiller vi skarpt på mulighederne for at indarbejde NetApp Cloud Volumes ONTAP and Azure NetApp Files som del af en SAP-strategi baseret på Microsoft Azure.