Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/11/2013
Tusindvis af apps til Android har en sårbarhed, der kan lade angribere ringe til dyre numre fra smartphonen. Sikkerhedshullet ligger i et udbredt system til at indbygge annoncer i apps.Annoncerammeværket InMobi har flere sårbarheder, som angribere kan udnytte via et man-in-the-middle-angreb. Det har sikkerhedsfirmaet FireEye opdaget.
Sårbarhederne består i, at InMobi giver apps mulighed for at bruge funktionerne til at foretage opkald, tage billeder og sende sms'er. Det sker fra appens WebView-funktion. Hvis en angriber kan lægge sine egne data ind i en webside, der vises i appen, kan han udnytte sårbarhederne.
FireEye har fundet over 2.000 apps på Google Play, der har en sårbar udgave af InMobi. Hver af dem er downloadet mere end 100.000 gange. I alt er de sårbare apps downloadet over 2,56 milliarder gange.
InMobi har udsendt version 4.0.4 af firmaets SDK (Software Development Kit). Den lukker muligheden for at foretage opkald, uden at brugeren ved det. Til gengæld åbner den et nyt hul, idet man nu kan downloade filer til en mappe på telefonen.
Selvom hullet er lukket i SDK'et, bliver det først lukket i de berørte apps, når de går over til det nye SDK.
Anbefaling
Udviklere af apps skal være opmærksomme på sikkerhedsmæssige konsekvenser ved at bruge tredjepartsbiblioteker til indlejring af annoncer.