smartphone

Hvad gør du med de data, som din app indsamler? Du skal være klar med et svar inden længe

Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

En Android-app giver "hurtigt og nemt overblik over spændende kulturelle oplevelser, arrangementer og steder" i en kommune.

Meget fint.

Men hvorfor har appen brug for at få adgang til følgende data på telefonen?

Dansk

Bootloadere er sårbare

Dansk

Når man tænder for en smartphone, kører den et såkaldt bootloader-program. Det har til formål at indlæse styresystemet. Et hold sikkerhedsforskere har undersøgt sikkerheden i fem bootloadere fra fire producenter.

Forskerne fandt frem til seks hidtil ukendte sårbarheder. Nogle af dem giver en angriber mulighed for afvikle kode, andre kan sætte enheden permanent ud af drift.

Til analysen udviklerede forskerne værktøjet BootStomp. Foruden de seks hidtil ukendte sårbarheder fandt værktøjet også en kendt sårbarhed. Det ser forskerne som et tegn på, at værktøjet fungerer.

Google fjerner 500 apps med mulig spyware fra Play Store

Dansk

Sikkerhedsfirmaet Lookout har opdaget, at annonceframeworket Igexin har mulighed for at downloade plugins, efter at en app udviklet med det er installeret. Disse plugins kan fx registrere, hvilke numre telefonen har ringet til, og sende dem til en server.

Udviklere af apps bruger ofte udviklingsframeworks som Igexin til at vise reklamer i deres apps. Frameworket håndterer opgaven med at hente reklamer fra annoncører og vise dem i appen, så udvikleren kan tjene penge på dem.

Over tusind apps savner serversikkerhed

Dansk

Over 1.000 apps lækker personoplysninger, fordi deres kommunikation med cloud-servere ikke er ordentligt sikret. Det skriver sikkerhedsfirmaet Appthority i en rapport.

Firmaet oplyser, at sårbarheden ligger i kommunikationen mellem apps og de centrale servere, de lagrer data på.

De sårbare apps bruger blandt andet servere med software som Elasticsearch, Redis, MongoDB og MySQL. Appthority understreger, at platformene ikke i sig selv er usikre. De kan sikres ved at følge best practices, men det gør mange app-udviklere ikke.

76 apps til iOS er sårbare over for man-in-the-middle-angreb

Dansk

Will Strafach fra Sudo Security opdeler de sårbare apps i tre risikogrupper alt efter hvor følsomme oplysninger, de lækker.

  • 33 apps har en lav risiko.
  • 24 apps har en mellemhøj risiko.
  • 19 apps har en høj risiko.

Fejlen ligger i, at de sårbare apps ikke tjekker, at et TLS-certifikat (Transport Layer Security) er udstedt af en certifikatudsteder, der er tillid til. Derfor kan en angriber udstede et forfalsket bevis til den server, som appen kommunikerer med.

304 apps lækker fortrolige nøgler til web-tjenester

Dansk

I november lancerede sikkerhedsfirmaet Fallible et gratis online værktøj til at analysere apps til Android. Siden da har firmaet selv og andre brugere anvendt værktøjet til at analysere godt 16.000 apps.

Analysen ser blandt andet på, om appen indeholder nøgler eller andre fortrolige oplysninger. Det gjorde godt 2.500 apps. Mange af nøglerne er dog harmløse og kan ikke misbruges.

304 apps indeholdt nøgler, som giver adgang til API'erne (Application Programming Interface) hos en række webtjenester. Blandt de berørte tjenester var Twitter, Instagram og Uber.

Mobile apps har usikkert system til login

Dansk

Sikkerhedsforskere har fundet usikre implementeringer af standarden OAuth 2.0 i fire ud af ti apps til smartphones og tablet.

OAuth 2.0 blev oprindelig udviklet for at gøre det at dele autentifikationsdetaljer mellem websteder. På den måde kan brugeren fx logge ind på Facebook og derefter genbruge sit login til at få adgang til andre tjenester, der samarbejder med Facebook.

Siden er flere udviklere begyndt at bruge standarden til på samme vis at dele oplysninger med apps.

Mobilsikkerhed

Hvordan sikrer jeg data på min mobiltelefon?

Du kan installere et program, der tager sikkerhedskopi af data på telefonen og gemmer dem på nettet eller på en pc.

Hvordan beskytter jeg min mobiltelefon mod misbrug?

Sæt en adgangskode, så uvedkommende ikke kan bruge telefonen, hvis de finder eller stjæler den.

Dansk
Abonnér på RSS - smartphone