Sikkerhed på Android kræver undervisning

Androids frie sikkerhedsmodel virker kun, hvis brugerne læser og forstår, hvad de giver downloadede apps adgang til. Det skriver Shehzad Ahmad fra DK•CERT i denne klumme fra Computerworld.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Tillykke! Android er nu den mobilplatform, der kommer flest skadelige programmer til.

Den beklagelige førsteplads fremgår af seneste kvartalsrapport fra sikkerhedsfirmaet McAfee. 60 procent af de skadelige programmer, som firmaet opdagede i sidste kvartal, var rettet mod Android-baserede enheder.

En ting har de skadelige programmer stort set alle til fælles: De kræver aktiv hjælp fra offeret, før de kan inficere vedkommendes mobiltelefon. De spreder sig nemlig som legitime apps, der i det skjulte er udstyret med skadelige funktioner.

Jeg har tidligere skrevet om forskellen på Apples og Googles tilgang til mobil sikkerhed: Apple tillader kun, at man installerer apps via firmaets egne systemer. Og apps skal godkendes og sikkerhedstestes, før de får adgang.

Google tillader derimod, at man installerer fra andre kilder end Android Market. Kvalitetskontrollen af, hvad der lægges på markedspladsen er meget begrænset.

Dermed har Android-brugerne mere frihed til at vælge, hvad de vil lægge på deres telefoner. Men det giver også et øget ansvar for sikkerheden.

Angriber netbank
Det fremgår også af en analyse, som DK-CERT netop har gennemført af en alvorlig trussel på Android-platformen: Zitmo (Zeus in the mobile), der kan tømme offerets bankkonto.

Zitmo bruges til at angribe netbanker med. Den fungerer i sammenhæng med Zeus/Zbot, der kører på offerets pc. Det mobile modul bruges til at opsnappe engangspasswords, som nogle bankapplikationer sender som SMS.

Zitmo optræder som en sikkerhedsapplikation fra et anerkendt firma. Hvis man installerer den på sin telefon, dukker der en lille applikation op, der ikke gør meget væsen af sig.

Men bag kulisserne opsnapper den SMS'er, der sendes fra banken. Dermed kan bagmændene for eksempel hæve penge via Zeus på offerets pc, og derefter få transaktionen godkendt via SMS-koden, som de opsnapper.

Sådan beskytter du Android
Som ejer af en Android-mobiltelefon kan du gøre tre ting for at beskytte dig mod skadelige programmer.

For det første kan du nøjes med at hente programmer fra Android Market – her er der dog en smule kvalitetskontrol. Når Google hører om skadelige programmer, er de som regel hurtige til at fjerne dem fra Android Market.

For det andet skal du læse, hvad en app kræver tilladelse til. Zitmo vil således både have adgang til at modtage SMS'er og læse telefontilstand og identitet. Det giver ikke mening for noget, der angiveligt skulle være et sikkerhedsprogram.

Mit tredje råd er at installere et sikkerhedsprogram. De fleste programmer på markedet nøjes ikke med at beskytte mod skadelig software. De gør det også muligt at finde frem til en telefon, man har tabt. Der findes gratis muligheder, så der er ingen grund til at lade være.

Brugerne skal undervises
For nogle år siden spredte skadelige programmer sig især som vedhæftede filer til e-mails. Så lærte antivirusprogrammerne dem at kende, og brugerne lærte, at de ikke skulle dobbeltklikke på mystiske vedhæng til mails.

Det lærte brugerne dengang. Nu står vi i it-sikkerhedsbranchen over for en lignende opgave: Vi skal lære mobilejerne at tjekke tilladelser, før de installerer en ny app.

Hvad man skal være opmærksom på, kommer selvfølgelig an på, hvad det skadelige program har som formål. Men som regel har en app ikke brug for at kunne modtage eller sende SMS'er. Hvis den kan det, kan den sende SMS'er til overtakserede numre, så man pludselig står med en uventet kæmperegning.

Et andet kritisk punkt er identifikation af telefonen og geografisk placering. Og hvis applikationen også vil have adgang til dine kontakter, kan der være fare på færde. Det afhænger helt af, hvad applikationen er beregnet til.

Hvis der kun er få, der har vurderet en app på Android Market, og den lige er lagt op, bør det også vække mistanke. En ny app med kun få vurderinger kan være en inficeret kopi af en ellers legitim app.

Alle disse ting skal mobilbrugerne lære at kigge på, før de kritikløst installerer den næste app, der lokker med en nuttet kat eller gratis adgang til frække videoer. Her ligger der en stor opgave for os i it-sikkerhedsbranchen.

Til sidst lige et tip til de mere teknisk orienterede læsere: DK-CERTs analyse af Zitmo er netop offentliggjort. Her kan du blandt andet læse om, hvilke Java-klasser den indeholder, og hvordan de spiller sammen. Find analysen på vores websted.


Oprindelig offentliggjort i avisen Computerworld og på Computerworld Online den 2. september 2011

 

LINKS

Keywords: