Annoncenet til Android er sårbart

Artiklen blev oprindeligt publiceret den 12/12/2013

Sikkerhedsforskere har fundet endnu et sårbart system til annoncer i apps til Android.

Systemet bruges til at indlejre annoncer i apps til Android. Det hedder Homebase SDK og kommer fra det israelske firma Widdit.

Når en app med SDK'et installeres, bliver der installeret en opdateringsmekanisme. Når brugeren starter appen, forbinder den sig til internettet og downloader seneste version af softwaren.

Denne download foregår ukrypteret og uden nogen form for kontrol af den downloadede kode.

Hvis en angriber har held til at gennemføre et man-in-the-middle-angreb mod smartphonen, kan han benytte sårbarheden til at downloade sin egen programkode til den.

Programkoden kan køre med vide beføjelser, idet brugeren ved installation af appen giver den lov til at udføre en lang række handlinger. Det omfatter at sende og modtage sms'er og optage lyd med mikrofonen.

Truslen er ikke så udbredt som nogle af de andre annoncenetværk, der på det seneste er fundet sårbarheder i. Ifølge sikkerhedsfirmaet Bitdefender har der været 1.640 sårbare apps på Google Play, men 1.122 af dem er blevet fjernet.

Anbefaling
Undlad at installere apps, der kræver tilladelser, som virker unødvendige.

Links