En rekke Android-applikasjoner godtar utveksling av data med servere via Internett-forbindelser med forfalsket sikkerhet.

Populære Android-apps kan avlyttes

Forskere avslører sviktende bruk av kryptering.

Svært mange smartmobilbrukere har knyttet enheten til tjenester som involverer personlige og sensitive data. Dette gjør enhetene attraktive for informasjonstyver. Fysisk tilgang er i mange tilfeller ikke nødvendig.

En gruppe tyske forskere ved Philipps-universitetet i Marburg og Leibniz-universitetet i Hannover har analysert SSL/TLS-bruken (Secure Sockets Layer/Transport Layer Security) i 13 500 populære gratisapplikasjoner for Android ved hjelp av MalloDroid, en utvidelse til Androguard som kan oppdage potensiell sårbarhet mot «mannen i midten»-angrep (MITM – man in the middle). Slike angrep kan i dette tilfellet brukes til å avlytte antatt sikre forbindelser mellom mobilapplikasjonene og servere.

Applikasjonene ble lastet ned fra Google Play.

Forskernes analyse avdekket at 1074 av applikasjonene – 8,0 prosent – inneholder SSL/TLS-kode som kan være sårbar for slike angrep ved at de akseptere alle sertifikater eller alle vertsnavn et et sertifikat.

Forskerne valget ut 100 applikasjoner for manuell revidering og greide å gjennomføre MITM-angrep mot 41 av disse. Resultatet var innsamling av store mengder sensitive data, blant annet akkreditiver eller annen brukerinformasjon knyttet til American Express, Diners Club, Paypal, bankkonter, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, fjernstyringsservere, vilkårlige e-postkontoer og IBM Sametime.

De berørte applikasjonene er ikke navngitt i rapporten, men på det tidspunktet undersøkelsen ble utført, hadde i alle fall tre av applikasjonene blitt lastet ned minst 10 millioner ganger hver.

Eksempler

Blant eksemplene som nevnes i rapporten, er en antivirus-applikasjon som godtar ugyldige sertifikater når den bekrefter gyldigheten av forbindelsen for levering av nye skadevaresignaturer. Forskerne var i stand til å utnytte dette og fôre applikasjonen med en ondsinnet signatur.

Et annet eksempel er en applikasjon som skal tilby enkel og sikker deling av data via nettskyen. Den skal ifølge utgiveren benyttes av 82 prosent av FORTUNE 500-selskapene til deling av dokumenter. Denne applikasjonen har ifølge rapporten mellom 1 og 5 millioner brukere. Applikasjonen lekker påloggingsinformasjon under MITM-angrep på grunn av dårlig sikkerhet i implementeringen av SSL-kanelen. Opp- og nedlasting av filene skjer derimot via en forbindelse som er skikkelig sikret. Det hjelper dog lite så lenge eventuelle angripere kan få tilgang til filene ved hjelp av påloggingsinformasjonen som lekkes.

Sårbarhetene har egentlig lite å gjøre med den underliggende plattformen, altså Android, men forskerne mener at det likevel er tiltak Google kan gjøre for å sikre brukerne mot slike svakheter.

Potensielle tiltak

Dette inkluderer blant annet å sørge for at verktøy tilsvarende MalloDroid integreres både i Google Play og i installasjonsverktøy, slik at en tilsvarende statisk analyse som den forskerne har utført, også gjøres under installasjonen av applikasjonen.

En mer radikal løsning vil være å tvinge applikasjonsutviklere til å bruke standard bibliotekimplementeringer av SSL-håndteringen, noe som tilbys av Androids API-er (programmeringsgrensesnitt).

Flere av applikasjonene som ble testet, sender data i klartekst, det vil si at de ikke benytter SSL i det hele tatt. Forskerne mener at en løsning kan være at en Android-versjon av HTTPS-Everywhere-tillegget som finnes til Firefox og Chrome, integreres i API-ene for kommunikasjon i Android.

Forskerne mener at også at Android har behov for mer findelte tillatelser for Internett-tilgang, for eksempel separate tillatelser for forbindelser med og uten SSL. Dermed kan brukerne enklere utelukke applikasjoner som tar i bruk ikke-krypterte forbindelser. Videre foreslår forskerne at det kan innføres regler for applikasjonene tilsvarende «GSM_ONLY», «NO_OPEN_ WIFI» eller «TRUSTED_NETWORKS».

Heller ikke dette gir noen absolutt sikkerhet, men man unngår i alle fall at applikasjonene sender data over forbindelser som ondsinnede kan ha satt opp for å utføre MITM-angrep.

Bare Android?

Forskerne har kun fokusert på Android-applikasjoner. Det går ikke fram av rapporten om det finnes tilsvarende problemer i applikasjoner for andre plattformer. I rapporten heter det at Google Play og programvareutvikling for Android er relativt åpen og uten restriksjoner, i motsetning til Apples «innemurte hage»-tilnærming for App Store.

– Dette gir både utviklere og brukere mer fleksibilitet og frihet, men skaper også betydelige sikkerhetsutfordringer, heter det i rapporten som er tilgjengelig her.

    Les også:

Til toppen