Rik Ferguson, europeisk direktør for sikkerhetsforskning og kommunikasjon i Trend Micro, besøkte Norge i forrige uke og møtte da digi.no til en prat – noe som allerede har resultert i denne artikkelen om Internet Explorer.
I det meste av intervjuet var temaet derimot først og fremst smartmobiler og lignende enheter.
– Smartmobiler er mer sårbare enn pc-er av flere årsaker, ikke minst den tette integrasjonen med e-post, samt at det ikke er noen «mouseover» i forbindelse med lenker. Når også adressefeltet ofte mangler i nettleseren, blir det vanskelig for brukeren å vite om de har åpnet et legitimt nettsted, forklarer Ferguson.
_logo.svg.png){kind=logo}
iPhone
Selv på smartmobiler som iPhone, hvor det ikke finnes skadevare i form av applikasjoner, er nettleseren utsatt for sårbarheter som kan utnyttes via websider. Bare med oppgraderingen til iOS 6 i forrige uke, fjernet Apple nærmere 200 sårbarheter fra nettleseren og resten av operativsystemet. Flere av sårbarhetene åpner for kjøring av kode.
Det er riktignok et unntak når det gjelder iOS og skadevare. Enheter som har blitt «jailbreaket», kan og har blitt utsatt fra skadevare. Det første eksempel var temmelig uskyldige Ikee 1 fra 2009, som senere dannet grunnlaget for en bankorm.
Selv om iOS er temmelig sikkert, så er ikke Ferguson spesielt begeistret for måten Apple håndterer sårbarheter.
– Apple snakker ikke om sårbarheter før det foreligger en fiks. For selskapet eksisterer ikke sårbarheten før dette. Det er ingen sunn policy, men en form for «security by obscurity», sier Ferguson. Han foretrekker likevel å bruke Apples produkter, men understreker at det skyldes brukergrensesnittet, ikke sikkerheten. Vårens Flashback-historie, hvor mer enn en halv million Mac-er skal ha blitt infisert med Flashback-trojaneren, delvis fordi Apple var trege med å fjerne kjente sårbarheter i selskapets egen Java-installasjon, er en påminnelse om at også Apples produkter er sårbare.
Alt på ett brett
En annen faktor som gjør smartmobiler til en risiko er all den innebygde funksjonaliteten.
– En smartmobil er den perfekte, skjulte mikrofon eller videokamera, mener Ferguson, som legger til at smartmobilene er fulle av personlig informasjon, i tillegg til at de er knyttet til enda mer data via nettskyen.
– Vi besøker viktig i økende grad viktig informasjon ved hjelp av mobiler. Kriminelle følger pengene, og hele bransjen mener at mobilen er det stedet hvor de fleste av angrepene nå vil komme, sier Ferguson.
Android og skadevare
Av de populære smartmobilplattformene er Android som klart mest utsatt når det gjelder skadevare. Ifølge Ferguson er det ventet at antallet unike skadevare-applikasjoner til Android vil være på 129 000 ved utgangen av året.
– Mesteparten av dette distribueres riktignok via tredjeparts markedsplasser i Kina og Russland, sier Ferguson. Men det er stort problem for kinesere som ikke har tilgang til Google Play.
Ferguson sier at Googles offisielle markedsplass er langt tryggere.
– Men Bouncer (løsningen som skal finne skadevare i Google Play, red. anm.) er tilbakevirkende, ikke proaktiv, noe som gjør at den ikke er helt effektiv. Men det er mye mindre skadevare hos Google og Amazon enn hos de andre. Likevel, i mai var det 17 ulike skadevare-applikasjoner i Google Play som ble lastet ned mer enn 700 000 ganger.
I motsetning til Google, så forhåndstester Amazon Android-applikasjonene før de publiseres i selskapets markedsplass. Men ifølge Ferguson er det ikke risikofritt å velge dette heller.
– For å bruke Amazon må du åpne for å bruke eksterne kilder. Da åpner du ikke bare for Amazon, men også for alle andre, sier han.
Fergusons råd er at man alltid sjekker hvem som har gitt ut en applikasjon og omdømmet til utgiveren, før applikasjonen lastes ned. Men det er ikke alltid dette hjelper.
Som eksempel nevner han at skadevare har blitt tilbudt av Rovio MobiIe, et navn som er til forveksling likt Rovio Mobile, som står bak blant annet spillet Angry Birds. Dette gjelder spesielt dersom skrifttypen i liten grad viser noen forskjell på liten «L» og stor «i», slik som denne (l, I).
– Kriminelle vet om dette, og dette er de samme folkene som har kompromittert pc-er i flere tiår. De er veldig gode på «social engineering», sier Ferguson, som legger til at det meste av skadevare ikke avhenger av sårbarheter, men i stedet utnytter person som bruker enheten.
Når man laster ned en applikasjon til Android, blir man ikke spurt om hvilke vist hvilke tillatelser applikasjonen ber en godkjenne før etter at den er lastet ned.
– Du velger å installere allerede i det du laster ned, ikke i det du leser tillatelsene, mener Ferguson. Riktignok kan man i alle fall i Google Play Store se hvilke tillatelser applikasjonene krever før man laster ned. Spørsmålet er hvor mange som går innom denne fanen og vurderer kritisk om applikasjonen virkelig har behov for alle tillatelsene som er oppgitt.
– Mange av de mest populære applikasjonene, som Flickr, Facebook og YouTube, vet hvor du er, når og hvem du har ringt, og de kan bruke kameraet når du vil. De har bare spurt deg én gang om tillatelse til dette. Det er mange legitime applikasjoner som ber om for mange tillatelser. Dette gjør at brukerne blir vant til at det er mange, noe som fører til at de i beste fall bare leser de første på listen, sier Ferguson.
Demo
Under intervjuet viste Ferguson hvordan man ved hjelp av en ondsinnet applikasjon, en trojaner, kan oppnå mer eller mindre full kontroll over en Android-mobil. Det lokkes med at applikasjonen skal kunne øke oppløsningen til mobilkameraet – en helt usannsynlig påstand som mange sannsynligvis vil la seg lure av likevel.
– App-situasjonen i dag minner om shareware-perioden på nittitallet da man lastet ned alt mulig, sier Ferguson.
Det var ingenting ved Android-mobilen som tydet på at den var blitt kompromittert. Trojaneren ble ikke vist i noen oversikter, og den kunne fjernstyres uten telefonen på noen måter gir tegn til slik aktivitet. Fjernstyringen kan for eksempel gjøres ved hjelp av enkle kommandoer som sendes via SMS. Trojaneren fanger opp SMS-er som den gjenkjenner, mens andre SMS-er sendes videre til meldingsapplikasjonen, som på vanlig måte varsler brukeren om at en melding er mottatt.
Trojaneren har mulighet til å utføre alt det mobilbrukeren har tillatt den, for eksempel å bruke mikrofonen, kameraet, SMS-meldingstjenesten eller å sende data over Internett. Under demonstrasjonen sendte Ferguson en kort SMS til Android-mobilen. Da gjorde den et lydopptak på et gitt antall sekunder, som så ble lastet opp til en ekstern server. En lenke til opptaket ble sendt per SMS tilbake til mobilen hvor kommandoen ble sendt fra.
Selve trojaneren var på 473 kilobyte. Videoen nedenfor viser eksempler på hvordan trojaneren kan brukes.
Ferguson avslutter med å fortelle at, samt tilknytningen mobiler og programvare har til denne, fører til at endringer man gjør på en enkelte enhet, kan føre til konsekvenser på mange andre steder.
– For eksempel slettes innhold veldig raskt i nettskyen. Men ta også for eksempel iTunes. Du meldte deg kanskje på en gang for lenge siden for å få tilgang til musikk. Senere har dette blitt til en Apple ID. Ting skjer under deg, uten din tillatelse, avslutter Ferguson.
Oppdatert kl 09.00: Videoen som opprinnelig var lenket til saken var ikke den vi hadde til hensikt å vise. Vi beklager.
Les også:
- [07.07.2014] – Politiet bør få bruke skjult SMS
- [16.10.2013] Tror ikke på Android-sikkerheten
- [04.02.2013] Android-skadevare skulle infisere Windows
- [05.12.2012] - 9 av 10 hackerangrep starter slik
- [05.11.2012] Android-skanner skal passe på sidedøren
- [09.10.2012] Global jakt på sårbare MySQL-servere
- [20.09.2012] – Ikke bytt ut IE
- [04.06.2012] - Flame-hysteriet er bullshit-bingo
- [09.03.2009] 750 Twitter-konti hacket
