Mange applikasjoner for smartmobiler og andre enheter lagrer brukerdata hos aktører som tilbyr BaaS-tjenester (Backend as a Service). Blant aktørene som tilbyr slike tjenester, er Amazon, Google og Facebook (via Parse.com).
Dette er i utgangspunktet uproblematisk og gjør det blant annet mulig å synkronisere data på tvers av enheter. Men måten mange app-utviklere bruker tjenestene på, kan gjøre det mulig for uvedkommende å få tilgang til dataene.
Gartner om mobilapper: Elendig sikkerhet og personvern
Enkel ID
Årsaken til dette er at mange apper bare bruker en enkel ID, et API-token, til å få tilgang til disse dataene. I mange tilfeller er dette bare et tall som er integrert i appens kildekode.
Ifølge forskere ved Technische Universität Darmstadt og Fraunhofer Institute for Secure Information Technology, finnes det i dag verktøy som gjør det enkelt for angripere å hente ut denne ID-en fra binærkoden til appen.
Dette gir angriperne ikke bare tilgang til å lese brukerdataene til alle app-brukerne, men i mange tilfeller også til å manipulere dem.
App-undersøkelse: Overfører mengder av private data
Tilgangskontroll
For å unngå dette, må app-utviklerne ta i bruk autentiseringsløsninger som ved hjelp av ordninger for tilgangskontroll i langt større grad begrenser hvem som kan få tilgang til dataene som lagres i BaaS-tjenesten.
Forskerne nevner Amazon Cognito som et eksempel på dette. Her får hver app-bruker en unik ID, samt midlertidige og begrenset tilgang til ressurser i Amazons nettsky. Selve ID-en hardkodes ikke i appen.
Forskerne har skannet 750 000 ulike apper som er tilgjengelige via Apple App Store og Google Play. Majoriteten av disse appene bruker ikke noen slik tilgangskontroll.
Snowden: NSA planla å kapre Google Play-trafikken
Passord og posisjonsdata
Eksempler på hva forskerne har fått tilgang til via apper er brukernes fulle navn, de fleste typer kontaktinformasjon, posisjonsdata, fotografier, passord, lyd- og videoopptak, venneinformasjon fra Facebook og meldingsapper, helsedata og pengetransaksjoner.
Men i noen tilfeller har metodene også gitt full tilgang til webservere og lagringstjenester, loggfiler, databaser og backup.
I alt skal forskerne ha funnet 56 millioner sett med ubeskyttede data. Men dette er trolig bare toppen av isfjellet.
– På grunn av juridiske restriksjoner og den enorme mengden med mistenkelige apper, kunne vi bare inspirere et lite antall i detalj, sier professor Eric Bodden ved Technische Universität Darmstadt, i en pressemelding.
– Funnene våre og problemets beskaffenhet indikerer at en enorm mengde med app-relatert informasjon er åpen for identitetstyveri eller til og med manipulering.
Kloner: Populære apper gjøres til skadevare
Varslet
Forskerne har informert det tyske datatilsynet, BSI, om funnene. De har også være i kontakt med Amazon, Apple, Facebook og Google for å kunne finne fram til og advare utviklerne av de appene som har blitt funnet sårbare. Dette ble gjort for flere uker siden.
Ifølge forskerne tillater ikke lovgivningen i Tyskland og EU at sikkerhetsforskere distribuerer advarsler om produkter. Derfor kan ikke forskerne opplyse om hvilke apper de vet at er berørt.
For vanlige brukere er det sjelden enkel måte å sjekke om appene de bruker, lagrer informasjonen deres på en sikker måte. Mer informasjon om den tyske undersøkelsen finnes her.
Mobile Pwn2Own: Smartmobiler knekt i tur og orden
