Mange apper lagrer brukerdata i nettskyen på en slik måte at uvedkommende relativt enkelt kan få tilgang til dem. (Foto: Fraunhofer SIT)

Applikasjonssikkerhet

– Elendig sikkerhet i de fleste mobilapper

Vær forsiktig med hva du oppgir av personopplysninger.

Mange applikasjoner for smartmobiler og andre enheter lagrer brukerdata hos aktører som tilbyr BaaS-tjenester (Backend as a Service). Blant aktørene som tilbyr slike tjenester, er Amazon, Google og Facebook (via Parse.com).

Dette er i utgangspunktet uproblematisk og gjør det blant annet mulig å synkronisere data på tvers av enheter. Men måten mange app-utviklere bruker tjenestene på, kan gjøre det mulig for uvedkommende å få tilgang til dataene.

Gartner om mobilapper: Elendig sikkerhet og personvern 

Enkel ID

Årsaken til dette er at mange apper bare bruker en enkel ID, et API-token, til å få tilgang til disse dataene. I mange tilfeller er dette bare et tall som er integrert i appens kildekode.

Ifølge forskere ved Technische Universität Darmstadt og Fraunhofer Institute for Secure Information Technology, finnes det i dag verktøy som gjør det enkelt for angripere å hente ut denne ID-en fra binærkoden til appen.

Dette gir angriperne ikke bare tilgang til å lese brukerdataene til alle app-brukerne, men i mange tilfeller også til å manipulere dem.

App-undersøkelse: Overfører mengder av private data 

Tilgangskontroll

For å unngå dette, må app-utviklerne ta i bruk autentiseringsløsninger som ved hjelp av ordninger for tilgangskontroll i langt større grad begrenser hvem som kan få tilgang til dataene som lagres i BaaS-tjenesten.

Forskerne nevner Amazon Cognito som et eksempel på dette. Her får hver app-bruker en unik ID, samt midlertidige og begrenset tilgang til ressurser i Amazons nettsky. Selve ID-en hardkodes ikke i appen.

Forskerne har skannet 750 000 ulike apper som er tilgjengelige via Apple App Store og Google Play. Majoriteten av disse appene bruker ikke noen slik tilgangskontroll.

Snowden: NSA planla å kapre Google Play-trafikken 

Passord og posisjonsdata

Eksempler på hva forskerne har fått tilgang til via apper er brukernes fulle navn, de fleste typer kontaktinformasjon, posisjonsdata, fotografier, passord, lyd- og videoopptak, venneinformasjon fra Facebook og meldingsapper, helsedata og pengetransaksjoner.

Men i noen tilfeller har metodene også gitt full tilgang til webservere og lagringstjenester, loggfiler, databaser og backup.

I alt skal forskerne ha funnet 56 millioner sett med ubeskyttede data. Men dette er trolig bare toppen av isfjellet.

– På grunn av juridiske restriksjoner og den enorme mengden med mistenkelige apper, kunne vi bare inspirere et lite antall i detalj, sier professor Eric Bodden ved Technische Universität Darmstadt, i en pressemelding.

– Funnene våre og problemets beskaffenhet indikerer at en enorm mengde med app-relatert informasjon er åpen for identitetstyveri eller til og med manipulering.

Kloner: Populære apper gjøres til skadevare 

Varslet

Forskerne har informert det tyske datatilsynet, BSI, om funnene. De har også være i kontakt med Amazon, Apple, Facebook og Google for å kunne finne fram til og advare utviklerne av de appene som har blitt funnet sårbare. Dette ble gjort for flere uker siden.

Ifølge forskerne tillater ikke lovgivningen i Tyskland og EU at sikkerhetsforskere distribuerer advarsler om produkter. Derfor kan ikke forskerne opplyse om hvilke apper de vet at er berørt.

For vanlige brukere er det sjelden enkel måte å sjekke om appene de bruker, lagrer informasjonen deres på en sikker måte. Mer informasjon om den tyske undersøkelsen finnes her.

Mobile Pwn2Own: Smartmobiler knekt i tur og orden 

Til toppen