Mange apps er sårbare

Artiklen blev oprindeligt publiceret den 27/8/2013

En række apps til smartphones har en sårbarhed, der giver skadelige apps adgang til deres fortrolige data. Huller i Dropbox og Facebook er lukket.

En gruppe sikkerhedsforskere har fundet en type sårbarhed, som er udbredt blandt apps til smartphones. Det gælder både apps til Android og iOS.

Sårbarheden ligger i, at de mobile operativsystemer ikke har noget, der svarer til den "same-origin-policy", som kendes fra browsere. Den forhindrer, at et script på en webside kan tilgå informationer på en anden webside. Kun hvis siderne stammer fra samme websted, har de lov til at tilgå hinandens data.

Den funktion findes ikke i Android og iOS. Derfor kan det være svært at isolere apps fra hinanden.

Forskere fra Microsoft Research og Indiana University har undersøgt en række udbredte apps og har fundet sårbarheden i flere dem. For eksempel kan en skadelig app få fat i brugerens adgangskode til Facebook eller Dropbox på Android.

Under iOS kan en angriber udnytte sårbarheden i Dropbox til at få fat i tekster, offeret skriver på iPhonen, uden at have adgang til en app på telefonen.

Forskerne har givet besked til udviklerne af de sårbare apps. De fik over 7.000 dollars i dusører for deres opdagelser.

De har også udviklet et værktøj ved navn Morbs (mobile origin based security), der gør det muligt at beskytte mod den type sårbarhed.

Links