Gratis apps kan indeholde farlig kode

Sikkerhedsfirmaet MWR InfoSecurity advarer om, at hackere kan misbruge sårbarheder i gratis apps til smartphonen

Sikkerhed

Det er forskere fra sikkerhedsfirmaet MWR InfoSecurity, der har påvist forskellige måder, hvorpå hackere kan misbruge annoncenetværk, ved at udnytte sårbarheder i gratis mobile apps.

Virksomheden har fundet ud af, at når folk installerer og bruger gratis apps, så giver de i højere grad adgang til deres adressebog, indhold af sms og emails og i nogle tilfælde fuld kontrol over telefonen, end de gør med betalte apps.

Det sker på grund af den kode, der indsættes i gratis apps, og som annoncører bruger til at tracking. Så mens brugeren måske stoler på udgiveren/udvikleren af den famøse app, så kan den kode, der bliver sat ind af annoncørerne, indeholde sårbarheder, som cyberkriminelle udnytter til at få adgang til enheden via app’en.

MWR har vist, at reklamenetværk arver alle de tilladelser og muligheder for telefonkontrol, som applikationen har. Hvis app’en kan se dine billeder, ja så kan reklamenetværket også. Det samme gælder, hvis du giver app’en adgang til sms’er og emails. Det betyder, at hackere der lykkes at bryde igennem annoncenetværkets forsvarsværker, har adgang til de samme data.

Robert Miller, forsker hos MWR forklarer, at de fleste mobile enheder indeholder en sikkerhedsmodel, der betyder, at app A ikke umiddelbart kan se data fra app B, og heller ikke kan bruge de samme tilladelser. Så hvis app A kan se dine sms’er og app B ikke kan, så kan app B ikke bede app A om dine sms’er.

“Men – hvis app A og B indeholder kode fra samme reklamenetværk, så kan reklamenetværket se dine sms’er, hvis det ønsker det. Reklamenetværk indeholder normalt denne funktionalitet, og bliver refereret til som ‘cross application’ data. Hvis angriberne udnytter disse sårbarheder i deres kodning, er det meget sandsynligt, at de kan stjæle dine data,” siger Robert Miller til Tech-Test og fortsætter:

“Forbrugerne er nødt til at forstå økosystemet for mobile apps. Gratis apps er betalt via reklamenetværk, der handler med data. Mens forbrugerne måske ikke betaler direkte for den smarte lille app, så betaler de med deres information. Og det betyder, at deres data kun er så sikre som annoncenetværket.”

Forbrugerne bør læse de tilladelser, som app’en beder om, inden den bliver installeret, anbefaler MWR InfoSecurity. Desværre er det kun yderst sjældent, at der er mulighed for at vælge mellem, hvilke tilladelser brugeren vil give en app.

“Hvis du ikke er enig med, eller har det godt med en af de funktioner som app’en skal have adgang til, så lad være med at installere den,” slutter Robert Miller.

Del artiklen på

Om Lars Bennetzen (3655 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.