smartphone

Smartphones leveres med skadelig software

Over 40 billige Android-enheder leveres med det skadelige program Triada.231. Det har sikkerhedsfirmaet Doctor Web opdaget.

Firmaet så første gang inficerede enheder i sommeren 2017. Det tog kontakt til producenterne. Men nye smartphones leveres stadig med den skadelige software.

Det gælder fx Leagoo M9, der blev lanceret i december.

Blandt de inficerede produkter er enheder fra Leagoo, ARK, Zopo, Doogee, Tecno, Vertex, myPhone, Advan, STF, Tesla og flere andre.

Ifølge Dr. Web kan langt flere smartphones end de godt 40, de har opdaget, være inficerede.

Dansk

Mobile apps lækker data med adgang til SMS'er og samtaler

Sikkerhedsfirmaet Appthority har opdaget, at 85 udviklerkonti på tjenesten Twilio har lagt deres brugernavn og password ind i de apps, de har udviklet. Dermed kan uvedkommende få adgang til de data, appen sender gennem Twilio.

Twilio er en cloud-tjeneste, der lader apps ringe, modtage opkald og udveksle SMS'er via forskellige telefoni-udbydere.

Appthority opdagede sårbarheden i april. De analyserede over 1.000 apps, hvoraf 685 havde sårbarheden. Både Android og iOS er berørt.

Dansk

Hvad gør du med de data, som din app indsamler? Du skal være klar med et svar inden længe

Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

En Android-app giver "hurtigt og nemt overblik over spændende kulturelle oplevelser, arrangementer og steder" i en kommune.

Meget fint.

Men hvorfor har appen brug for at få adgang til følgende data på telefonen?

Dansk

Bootloadere er sårbare

Når man tænder for en smartphone, kører den et såkaldt bootloader-program. Det har til formål at indlæse styresystemet. Et hold sikkerhedsforskere har undersøgt sikkerheden i fem bootloadere fra fire producenter.

Forskerne fandt frem til seks hidtil ukendte sårbarheder. Nogle af dem giver en angriber mulighed for afvikle kode, andre kan sætte enheden permanent ud af drift.

Til analysen udviklerede forskerne værktøjet BootStomp. Foruden de seks hidtil ukendte sårbarheder fandt værktøjet også en kendt sårbarhed. Det ser forskerne som et tegn på, at værktøjet fungerer.

Dansk

Google fjerner 500 apps med mulig spyware fra Play Store

Sikkerhedsfirmaet Lookout har opdaget, at annonceframeworket Igexin har mulighed for at downloade plugins, efter at en app udviklet med det er installeret. Disse plugins kan fx registrere, hvilke numre telefonen har ringet til, og sende dem til en server.

Udviklere af apps bruger ofte udviklingsframeworks som Igexin til at vise reklamer i deres apps. Frameworket håndterer opgaven med at hente reklamer fra annoncører og vise dem i appen, så udvikleren kan tjene penge på dem.

Dansk

Over tusind apps savner serversikkerhed

Over 1.000 apps lækker personoplysninger, fordi deres kommunikation med cloud-servere ikke er ordentligt sikret. Det skriver sikkerhedsfirmaet Appthority i en rapport.

Firmaet oplyser, at sårbarheden ligger i kommunikationen mellem apps og de centrale servere, de lagrer data på.

De sårbare apps bruger blandt andet servere med software som Elasticsearch, Redis, MongoDB og MySQL. Appthority understreger, at platformene ikke i sig selv er usikre. De kan sikres ved at følge best practices, men det gør mange app-udviklere ikke.

Dansk

76 apps til iOS er sårbare over for man-in-the-middle-angreb

Will Strafach fra Sudo Security opdeler de sårbare apps i tre risikogrupper alt efter hvor følsomme oplysninger, de lækker.

  • 33 apps har en lav risiko.
  • 24 apps har en mellemhøj risiko.
  • 19 apps har en høj risiko.

Fejlen ligger i, at de sårbare apps ikke tjekker, at et TLS-certifikat (Transport Layer Security) er udstedt af en certifikatudsteder, der er tillid til. Derfor kan en angriber udstede et forfalsket bevis til den server, som appen kommunikerer med.

Dansk

304 apps lækker fortrolige nøgler til web-tjenester

I november lancerede sikkerhedsfirmaet Fallible et gratis online værktøj til at analysere apps til Android. Siden da har firmaet selv og andre brugere anvendt værktøjet til at analysere godt 16.000 apps.

Analysen ser blandt andet på, om appen indeholder nøgler eller andre fortrolige oplysninger. Det gjorde godt 2.500 apps. Mange af nøglerne er dog harmløse og kan ikke misbruges.

304 apps indeholdt nøgler, som giver adgang til API'erne (Application Programming Interface) hos en række webtjenester. Blandt de berørte tjenester var Twitter, Instagram og Uber.

Dansk

Mobile apps har usikkert system til login

Sikkerhedsforskere har fundet usikre implementeringer af standarden OAuth 2.0 i fire ud af ti apps til smartphones og tablet.

OAuth 2.0 blev oprindelig udviklet for at gøre det at dele autentifikationsdetaljer mellem websteder. På den måde kan brugeren fx logge ind på Facebook og derefter genbruge sit login til at få adgang til andre tjenester, der samarbejder med Facebook.

Siden er flere udviklere begyndt at bruge standarden til på samme vis at dele oplysninger med apps.

Dansk

Mobilsikkerhed

Hvordan sikrer jeg data på min mobiltelefon?

Du kan installere et program, der tager sikkerhedskopi af data på telefonen og gemmer dem på nettet eller på en pc.

Hvordan beskytter jeg min mobiltelefon mod misbrug?

Sæt en adgangskode, så uvedkommende ikke kan bruge telefonen, hvis de finder eller stjæler den.

Hvordan beskytter jeg min mobiltelefon mod tyveri?

Både iPhones og Android-telefoner har en indbygget funktion, der kan hjælpe med at lokalisere en tabt eller stjålet mobiltelefon. Derudover findes der særlige apps til formålet.

Dansk
Abonnér på RSS - smartphone