Mange apps til Android er sårbare

Artiklen blev oprindeligt publiceret den 2/3/2015

Mange apps til smartphones med Android har sårbarheder i den måde, de henter data fra websider på. Ud af de mest populære apps har en tredjedel den type sårbarhed.

Det fremgår af en analyse af 7 millioner apps til Android og iOS, som sikkerhedsfirmaet FireEye har foretaget.

Sårbarheden hedder JavaScript-Binding-Over-HTTP. Den består i, at appen henter JavaScript-kode fra en webside, der vises via Webview-funktionen. Angribere kan udføre et man-in-the-middle-angreb og lægge skadelige kode ind i kommunikationen.

Ifølge analysen har 31 procent af de mest populære apps til Android den sårbarhed. Det er apps, der er downloadet mere end 50.000 gange.

18 procent af de sårbare apps behandler potentielt følsomme data såsom betalingsdata og helbredsoplysninger.

96 procent af skadelig software (malware) til smartphones er til Android. Analysen viser en voldsom vækst i mængden af malware til Android. I 2013 fandt man 240.000 programmer. I de tre første kvartaler af 2014 var der over 390.000.

Tallene siger ikke noget om, hvor mange smartphones der var inficeret med malware.

Apple kontrollerer alle apps, der distribueres via App Store. Det holder mængden af malware nede. Men nogle it-kriminelle er begyndt at distribuere apps uden om App Store, blandt andet ved at bruge såkaldt enterprise provisioning.

FireEye har fundet over 1.400 iOS-apps, der blev distribueret på den måde. Over 80 procent af dem bruger private API’er, hvilket Apple ikke tillader i apps i App Store.

Anbefaling
Beskyt smartphones med sikkerhedssoftware.