Ég var að lesa grein eftir Graham Cluley þar sem hann fjallar um kynningu sem hann sá á Virus Bulletin ráðstefnu sem hann var á í Berlín. Þar fóru öryggisrannsóknarmenn (security researcher) frá Bitdefender yfir hvernig öryggismálum væri háttað í app mörkuðum hjá Google og Apple með því að prófa yfir 800.00 öpp. Þeir minntust ekkert á Windows Phone í þessu sambandi hver svo sem ástæðan er fyrir því.

Samkvæmt niðurstöðu þeirra þá er stórt vandamál að sum forrit flytja ódulkóðuð gögn milli símtækja og þjónustuaðila. Dæmi um þetta er notendanafn, leyniorð, tengiliðaskrá, símanúmer og/eða GPS staðsetninga upplýsingar. Ástæðan fyrir þessu er líklega sú að forritarar eru annað hvort kærulausir eða að þeir hafi einfaldlega ekki næginlega þekkingu á öryggismálum til að kunna að koma í veg fyrir þetta.

Þeir prófuðu um 630.000 Android forrit og um 3.71% (rúmlega 23 þúsund) þeirra tóku og sendu netfang notenda þó svo að það þurfi ekki fyrir appið. Einnig fannst þeim eftirtektarvert að 8.38% (tæplega 53 þúsund) þeirra settu icon appsins á heimaskjá símans sem er einstaklega pirrandi að mínu mati.

Um 2.772 af þessum Android öppum sendu allar upplýsingar um notendur ódulkóðaðar (plain text) yfir internetið þannig að mjög einfalt er að “sniffa” upp notendanafn, leyniorð og netfang notenda.

 

Hér er dæmi um kóða í TalkBox Voice Messenger sem er með milljónir af virkum notendum. en appið senda notendanafn, leyniorð, Android útgáfu, netfang og tækjaheiti (device name).

 

Mynd frá Graham Curley

Mynd frá Graham Curley

 

Þetta á ekki bara við um Android því Bitdeffender prófaði 240.000 iOS öpp og þeir fundu út að 0.51% (1.224 forrit) þeirra sendu notendaupplýsingar ódulkóðaðar fyrir internetið.

 

Þetta er alvarlegt en svo sem ekki bara illa skrifuðum kóða forritara um að kenna þar sem auglýsingar í ókeypis forritum geta líka valdið þessu. Forritarar fá tekjur af ókeypis forritum með því að bundla auglýsingakóða frá þriðja aðila með appinu sínu sem getur valdið vandræðum og guð veit hvað gerist þar.

Notendur þurfa að vera meðvitaðir um heimildir sem þeir veita forritum að símtækjunum sínum og Graham nefnir eitt gott dæmi í appi sem heitir “Brightest Flashlight Free”. Þetta app krefst þess að fá aðgang að GPS staðsetningu notenda, vasaljósa app sem notar GPS ???
Í þessu tilviki er það ekki vasaljósa appið sem þarf GPS heldur auglýsingahluti appsins til þess að geta veitt notenda auglýsingar eftir því hvar hann er í heiminum.

Ég sé alveg fyrir mér að þetta sé eins í Windows Phone þar sem ókeypis forrit koma oft með “ókeypis auglýsingum”. Ég vill því minna notendur á að lesa umfjallanum (review) um öppin sem þeir nota, ekki sækja og setja upp app með fá review og stoppa við áður en ákveðið er að gefa appinu fullt leyfi til gera hvað sem er á símanum.

 

Heimild

Graham Cluley

Bitdefender

Virus Bulletin

 

Skrifaðu nú skemmtilegar og jákvæðar athugasemd

athugasemdir