Af Torben B. Sørensen, 17/01/17
I november lancerede sikkerhedsfirmaet Fallible et gratis online værktøj til at analysere apps til Android. Siden da har firmaet selv og andre brugere anvendt værktøjet til at analysere godt 16.000 apps.
Analysen ser blandt andet på, om appen indeholder nøgler eller andre fortrolige oplysninger. Det gjorde godt 2.500 apps. Mange af nøglerne er dog harmløse og kan ikke misbruges.
304 apps indeholdt nøgler, som giver adgang til API'erne (Application Programming Interface) hos en række webtjenester. Blandt de berørte tjenester var Twitter, Instagram og Uber.
For eksempel var der nøgler, der giver adgang til AWS (Amazon Web Services). Nogle af dem havde privilegier til at oprette og slette virtuelle maskiner på cloud-platformen.
Angribere kan udnytte lagrede nøgler og andre hemmeligheder til at tilgå tjenesterne som de apps, nøglerne ligger i.
Anbefaling
Udviklere af apps bør undgå at indlejre nøgler og andre hemmeligheder i kildekoden.
Links
- Many Mobile Apps Unnecessarily Leak Hardcoded Keys: Analysis, artikel fra SecurityWeek
- Devs reverse-engineer 16,000 Android apps, find secrets and keys to AWS accounts, artikel fra The Register
- We reverse engineered 16k apps, here’s what we found, blogindlæg fra Fallible
- Secrets leak in Android apps, værktøjet fra Fallible