App-reklamer har farlige sårbarheder

Artiklen blev oprindeligt publiceret den 9/10/2013

Et system til reklamer i apps til Android kan stjæle fortrolige oplysninger og har sårbarheder, som angribere kan udnytte.

Sikkerhedsfirmaet FireEye har opdaget truslen, der er et programmeringsbibliotek. Udviklere af apps bruger biblioteket til at indbygge reklamer i deres apps.

FireEye har valgt ikke at offentliggøre navnet på biblioteket, før udviklerne af det har taget stilling til en række sikkerhedsproblemer. De bruger i stedet dæknavnet Vulna.

Ud over at vise reklamer har Vulna også adgang til brugerens sms-beskeder og adressebog. Det kan hente og udføre programkode på smartphonen.

Men forskerne har også fundet en række sårbarheder i Vulna. Angribere kan udnytte sårbarhederne til at få Vulna til at afvikle skadelig programkode, tage billeder med telefonens kamera, stjæle engangskoder sendt som sms, slette filer eller foretage opkald.

Vulna indgår i apps, der til sammen er blevet downloadet over 200 millioner gange fra Google Play.

FireEye har advaret Google og udviklerne af Vulna om problemerne.

Links