Gratis apps kan indeholde farlig kode

Sikkerhedsfirmaet MWR InfoSecurity advarer om, at hackere kan misbruge sårbarheder i gratis apps til smartphonen

5. januar 2015 Lars Bennetzen Nyheder
Sikkerhed

Det er forskere fra sikkerhedsfirmaet MWR InfoSecurity, der har påvist forskellige måder, hvorpå hackere kan misbruge annoncenetværk, ved at udnytte sårbarheder i gratis mobile apps.

Virksomheden har fundet ud af, at når folk installerer og bruger gratis apps, så giver de i højere grad adgang til deres adressebog, indhold af sms og emails og i nogle tilfælde fuld kontrol over telefonen, end de gør med betalte apps.

Det sker på grund af den kode, der indsættes i gratis apps, og som annoncører bruger til at tracking. Så mens brugeren måske stoler på udgiveren/udvikleren af den famøse app, så kan den kode, der bliver sat ind af annoncørerne, indeholde sårbarheder, som cyberkriminelle udnytter til at få adgang til enheden via app’en.

MWR har vist, at reklamenetværk arver alle de tilladelser og muligheder for telefonkontrol, som applikationen har. Hvis app’en kan se dine billeder, ja så kan reklamenetværket også. Det samme gælder, hvis du giver app’en adgang til sms’er og emails. Det betyder, at hackere der lykkes at bryde igennem annoncenetværkets forsvarsværker, har adgang til de samme data.

Robert Miller, forsker hos MWR forklarer, at de fleste mobile enheder indeholder en sikkerhedsmodel, der betyder, at app A ikke umiddelbart kan se data fra app B, og heller ikke kan bruge de samme tilladelser. Så hvis app A kan se dine sms’er og app B ikke kan, så kan app B ikke bede app A om dine sms’er.

“Men – hvis app A og B indeholder kode fra samme reklamenetværk, så kan reklamenetværket se dine sms’er, hvis det ønsker det. Reklamenetværk indeholder normalt denne funktionalitet, og bliver refereret til som ‘cross application’ data. Hvis angriberne udnytter disse sårbarheder i deres kodning, er det meget sandsynligt, at de kan stjæle dine data,” siger Robert Miller til Tech-Test og fortsætter:

“Forbrugerne er nødt til at forstå økosystemet for mobile apps. Gratis apps er betalt via reklamenetværk, der handler med data. Mens forbrugerne måske ikke betaler direkte for den smarte lille app, så betaler de med deres information. Og det betyder, at deres data kun er så sikre som annoncenetværket.”

Forbrugerne bør læse de tilladelser, som app’en beder om, inden den bliver installeret, anbefaler MWR InfoSecurity. Desværre er det kun yderst sjældent, at der er mulighed for at vælge mellem, hvilke tilladelser brugeren vil give en app.

“Hvis du ikke er enig med, eller har det godt med en af de funktioner som app’en skal have adgang til, så lad være med at installere den,” slutter Robert Miller.

About Lars Bennetzen 4130 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.

Relaterede Artikler

Nyheder

Virksomheder beskytter ikke data ved onlinemøder

25. marts 2021 Lars Bennetzen Nyheder, Nyhedsbrev, Tophistorier
Coronakrisen har ført til udbredt hjemmearbejde, og det har resulteret i en eksplosiv stigning i antallet af Office 365-brugere og Teams-møder. Herhjemme viser tal fra Danmarks Statistik, at 17 pct. af danskerne regelmæssigt arbejdede hjemme i 2020, hvilket er mere end en fordobling i forhold til året før. Det har ført til en eksplosiv vækst i mængden af data i Microsoft Office 365 og dermed et større behov for databeskyttelse. En ny undersøgelse fra it-sikkerhedsvirksomheden Barracuda Networks viser dog, at to ud af tre af de adspurgte virksomheder ikke benytter backupværktøjer fra en tredjepart til at beskytte virksomhedens data. I stedet benytter de standard-sikkerhedsforanstaltninger, der er indbygget i Office 365, trods Microsofts komplekse lagringspolitikker og manglende evne til at gendanne data. Microsoft anbefaler selv sine kunder at gøre brug af en tredjepartsbackupløsning, da virksomheden kun garanterer tilgængeligheden af sin service, men ikke opbevaring af data. Det er der alt for mange virksomheder, der ikke er klar over, og det kan få store konsekvenser, hvis virksomheden udsættes for hackerangreb eller oplever en simpel menneskelig fejl. Det bør man som virksomhed tage alvorligt. Peter Gustafsson, nordisk chef i Barracuda Networks Samtidig viser undersøgelsen, at mange virksomheder er bekymrede for virksomhedens datasikkerhed. 61 pct. af de europæiske virksomheder svarer, at de frygter ransomware-angreb, hvilket kan indikere, at mange virksomheder ikke er bevidste om, hvilke backup- og gendannelsesfunktioner der er inkluderet i Office 365. Mange Teams-møder skaber særlig bekymring Den eksplosive stigning i brugen af Teams har gjort virksomhederne særligt opmærksomme på sikkerheden omkring …. (læs mere her)
Nyheder

Sådan: Beskyt din smartphone mod hackere

13. november 2019 Lars Bennetzen Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Det er ikke længere kun computere, der er i fare for at blive hacket. Falske apps, hackede netværk og inficerede e-mails er bare nogle af de midler, som it-svindlerne tager i brug i forsøget på at hacke sig ind på din smartphone.   Ifølge IT-sikkerhedsekspert Janus R. Nielsen fra it-firmaet AnyTech365 er smartphones blevet et populært hackermål. Det skyldes bl.a. det stigende brug af private data som bankoplysninger og andre følsomme dokumenter, der er lagret på mobilen. Desværre er det langt fra alle, der beskytter sin smartphone mod it-angreb. Derfor kommer Janus. R. Nielsen, der også er grundlægger af MYMobileSecurity, her med seks gode råd, der hjælper dig til at holde din smartphone væk fra hackere og cyberkriminelle. 1. Undgå falske applikationer Vær først og fremmest opmærksom på falske applikationer, der sender data fra mobilen tilbage til bagmændene, der ofte forsøger at få de falske apps til at ligne velkendte og populære apps. En god idé er at tjekke andre brugeres anmeldelser af appen, før du beslutter dig for at installere den. Undgå derfor helt nye apps, der ikke har fået nogle anmeldelser.            2. Brug pinkoder Lås din smartphone med både en pinkode til selve mobilen og også til sim-kortet, så du er bedre sikret mod ubudne gæster. 3. Pas på åbne netværk Vær opmærksom når du logger på åbne netværk, der ikke kræver en adgangskode. Undgå at tilkoble din smartphone til disse netværk, hvis du skal tjekke din netbank eller handle på nettet. It-svindlere kan stå bag åbne …. (læs mere her)
Business

Ny variant af Qbot-malwaren rammer nu virksomheder

15. september 2020 Lars Bennetzen Business, Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Check Point Research, der er en del af Check Point Software Technologies, har netop offentliggjort deres seneste Global Threat Index for august 2020. Den viser, at en ny variant af den berygtede Qbot-malware, der så dagens lys første gang i 2008, er en af de ti største cybertrusler mod virksomheder lige nu. Den ny variant, der også går under navnene Qakbot og Pinkslipbot, giver hackerne nogle nye metoder til at angribe virksomhederne. Med denne variant kan de nu trække e-mails ud af offerets Outlook-klient og kopiere dem over til en ekstern server. Det giver hackerne mulighed for at overtage legitime mailkorrespondancer og sende spam via den inficerede bruger – og i sidste ende inficere andre brugere. Niels Zimmer Poulsen, Head of Security Engineering hos Check Point i Danmark Topplaceringen på Check Points Global Threath Index bliver indtaget af Emotet-malwaren, der i juli måned genopstod efter flere måneders totalt fravær. I Danmark er Agent Tesla-malwaren den største cybertrussel mod virksomheder. Denne malware har været den største trussel mod danske virksomheder i tre måneder i træk.