Digitalisering

Så öppnar appar mobilen för spioner

Slarv vid programmeringen av appar som görs på kända utvecklingsplattformar lämnar mobilerna öppna för dataspionage utan användarens vetskap.

Publicerad

Det är forskare vid Bremens universitets avdelning för informationssäkerhet (TZI) som ställt sig frågan var svagheterna finns i mobilapparna. De laddade ner ett antal appar från kända företag via Googles Play Store och analyserade därefter hur de kommunicerar och analyserade programkoden.

- Vi stötte åter och åter på samma problem i olika variationer, säger ansvarige Karsten Sohr.

- Programmerarna har ofta gjort fel när använt den populära programvaran Cordova för utvecklingsplattformen PhoneGap.

- Den som använder Cordova måste se till att säkra hela programkoden, påpekar Sohr. Programmerarna måste ta sig tid att bara aktivera de rättigheter som krävs för just den app de utvecklar.

Cordova kan utan svårigheter användas för att utveckla appar för de flesta populära mobiloperativsystemen. Vid programmeringen begärs rättigheter till många funktioner i mobilen. Ofta bryr sig programmerarna inte om hur många rättigheter som efterfrågas, visar analysen.

I en av de analyserade apparna begärdes rättigheter till 22 funktioner, när endast tillgång till internet var nödvändig för funktionaliteten, förklarar Christian Liebig, som gör sitt masterarbete i ämnet. Appens funktion var egentligen att endast förmedla företagsnyheter.

- Problemet är att begäran om alla dessa rättigheter lämnar dörren öppen för datapioner via funktioner som kamera, kontakter, gps-position o s v. Mobilanvänder märker inte något, påpekar han.

En annan väg in genom Cordova är det som kallas Debug-Flag, som används vid utvecklingen av en app. Den måste plockas bort när appen släpps ut offentligt, annars är kryptering avaktiverad. Det var något forskarna hittade i flera av de undersökta apparna.

Problem var det även med så kallade Whitelist, som bestämmer med vem appen får kommunicera med. Felaktigt konfigurerade sådana lämnar öppet att ta över mobilen. Speciellt besvärligt är också att flera Cordovaappar är känsliga för en känd säkerhetslucka i Android i gränssnittet mellan Javascript och Java.

Förutom de nämnda ingångarna i mobilen som utnyttjar svagheter i Cordova har forskarna hittat andra och mer komplexa svagheter, säger Karsten Sohr.