Falsk tillit till mobilappar

2014-08-20
Falska appar med dold funktionalitet

Idag är det många företag som låter de anställda välja en iPhone eller Android-telefon som tjänstetelefon. Dessa telefoner innehåller i princip allt det som behövs för att bedriva ett mobilt kontor och underlätta distansarbete. Utöver att ringa går det som alla vet att skicka sms/mms, e-post, läsa och skriva dokument, fotografera, spela spel m.m. Listan kan göras lång. Om det är något man saknar, så finns det säkert ett flertal appar som går att installera för att utöka användningsområdet för telefonen.

Behörighetslista för en app Vid varje app-installation måste användaren bekräfta och godkänna de behörigheter som appen kräver. En godkänd behörighet kan t.ex. ge tillgång till telefonens adressbok, sms-meddelande, kamera, mikrofon, gps, nätverkskort, etc. Listan över behörigheter som måste godkännas är ofta ganska lång och läses inte av de flesta användare. Om behörigheterna inte godkänns, så avbryts installationsförloppet. Det är inte bara krångligt för en användare att förstå anledningen till varför t.ex. en miniräknare-app behöver tillgång till mobilens adressbok, utan även att kontrollera i vilket syfte den använder denna behörighet. Det kan i vissa fall indirekt gå att läsa sig till anledningen i beskrivningen över appens funktioner. Detta förutsätter dock att användaren litar på tillverkaren. Vad som krävs för att en användare känner tillit till en apptillverkare är säkert väldigt individuellt, men jag tror det finns anledning att bli lite mer ifrågasättande...

  • Hur garanterar du att tillverkaren publikt anger all funktionalitet för sin app?
  • Hur kan du känna dig trygg i att behörigheterna du godkänner inte används i annat syfte än det som tillverkaren anger?
  • Hur väl känner du till den privatperson eller det utländska företag som utvecklat appen?
  • Vilka konsekvenser skulle det få om en app spelade in vad som sägs i mötesrummet och utan din vetskap skickade ljudupptagningen till en server utomlands?

En privatperson kanske inte tycker att detta känns så viktigt, men en arbetsgivare som låter sina anställda hantera företagsintern/konfidentiell information i form av kundkontakter, e-post och uppkoppling till intranätet från sin mobiltelefon borde vara intresserad. Informationsläckage från företag sker dagligen. Alla företag, även om vissa av dessa inte inser att de har skyddsvärd information, kan drabbas.

Säkerhetsföretaget Trend Micro redovisar i en rapport från Q2-2014 att de identifierat totalt ca 2,7 miljoner falska Android-appar i Google Play. Bara under april-juni 2014 upptäcktes 589.000 NYA appar under denna kategori. En falsk app utger sig för att vara något den inte är. Den kan även påstå att den innehåller funktionalitet som förbättrar din säkerhet, tryggt lagrar dina lösenord, bekämpar virus, etc. De tre vanligaste funktionerna i de falska apparna (Q2 2014) är att de visar oönskad reklam, registrerar användaren hos externa betaltjänster samt stjäl information som finns lagrad i mobiltelefonen.

En erfaren angripare får användaren att känna sig trygg genom att beskriva alla fördelar med sin programvara (app). Givetvis beskriver angriparen inte de odokumenterade funktionerna som äventyrar lagringsskyddet av din information eller ser till att du får en extra stor samtalsfaktura nästa gång. Vanligt är dessutom att denna trygghet och tillit relativt snabbt skapas genom att påstå att appen innehåller säkerhetsfunktionalitet. De enda som garanterar att appen är säker är dock utvecklarna, vilket alltså inte behöver betyda så mycket i praktiken.

Mitt råd är att vara mer kritisk och kolla upp tillverkarna bakom en app innan den installeras. Besök tillverkarens hemsida och googla lite på om andra användare upplevt problem med appen. Appar som kostar pengar är lika viktiga att granska. Ytterligare ett steg är att ställa krav på att en tredje part har utfört en oberoende säkerhetsgranskning av funktionaliteten för den app som ska installeras. Det går att göra ganska bra analyser även om källkoden saknas till appen. Hos företag måste det även finnas riktlinjer för vad de anställda får göra med sin tjänstetelefon. En mobiltelefon går att jämställa med en bärbar dator på flera sätt. Det finns hos många företag policies som beskriver att de anställda inte får installera vilket datorprogram de själva vill på arbetsdatorn, men detta saknas för mobiltelefonanvändning även om dessa mindre enheter till stor del har samma informationsinnehåll som arbetsdatorn.

Även om det är Google Play som anges ovan är det viktigt att påpeka att falska appar finns hos alla app-butiker, även Apples App Store och Microsofts Windows Store.

- Peter Bayer