smartphone

Over 40 billige Android-enheder leveres med det skadelige program Triada.231. Det har sikkerhedsfirmaet Doctor Web opdaget.

Firmaet så første gang inficerede enheder i sommeren 2017. Det tog kontakt til producenterne. Men nye smartphones leveres stadig med den skadelige software.

Det gælder fx Leagoo M9, der blev lanceret i december.

Blandt de inficerede produkter er enheder fra Leagoo, ARK, Zopo, Doogee, Tecno, Vertex, myPhone, Advan, STF, Tesla og flere andre.

Ifølge Dr. Web kan langt flere smartphones end de godt 40, de har opdaget, være inficerede.

Sikkerhedsfirmaet Appthority har opdaget, at 85 udviklerkonti på tjenesten Twilio har lagt deres brugernavn og password ind i de apps, de har udviklet. Dermed kan uvedkommende få adgang til de data, appen sender gennem Twilio.

Twilio er en cloud-tjeneste, der lader apps ringe, modtage opkald og udveksle SMS'er via forskellige telefoni-udbydere.

Appthority opdagede sårbarheden i april. De analyserede over 1.000 apps, hvoraf 685 havde sårbarheden. Både Android og iOS er berørt.

Når man tænder for en smartphone, kører den et såkaldt bootloader-program. Det har til formål at indlæse styresystemet. Et hold sikkerhedsforskere har undersøgt sikkerheden i fem bootloadere fra fire producenter.

Forskerne fandt frem til seks hidtil ukendte sårbarheder. Nogle af dem giver en angriber mulighed for afvikle kode, andre kan sætte enheden permanent ud af drift.

Til analysen udviklerede forskerne værktøjet BootStomp. Foruden de seks hidtil ukendte sårbarheder fandt værktøjet også en kendt sårbarhed. Det ser forskerne som et tegn på, at værktøjet fungerer.

Sikkerhedsfirmaet Lookout har opdaget, at annonceframeworket Igexin har mulighed for at downloade plugins, efter at en app udviklet med det er installeret. Disse plugins kan fx registrere, hvilke numre telefonen har ringet til, og sende dem til en server.

Udviklere af apps bruger ofte udviklingsframeworks som Igexin til at vise reklamer i deres apps. Frameworket håndterer opgaven med at hente reklamer fra annoncører og vise dem i appen, så udvikleren kan tjene penge på dem.

Over 1.000 apps lækker personoplysninger, fordi deres kommunikation med cloud-servere ikke er ordentligt sikret. Det skriver sikkerhedsfirmaet Appthority i en rapport.

Firmaet oplyser, at sårbarheden ligger i kommunikationen mellem apps og de centrale servere, de lagrer data på.

De sårbare apps bruger blandt andet servere med software som Elasticsearch, Redis, MongoDB og MySQL. Appthority understreger, at platformene ikke i sig selv er usikre. De kan sikres ved at følge best practices, men det gør mange app-udviklere ikke.

Will Strafach fra Sudo Security opdeler de sårbare apps i tre risikogrupper alt efter hvor følsomme oplysninger, de lækker.

• 33 apps har en lav risiko.
• 24 apps har en mellemhøj risiko.
• 19 apps har en høj risiko.

Fejlen ligger i, at de sårbare apps ikke tjekker, at et TLS-certifikat (Transport Layer Security) er udstedt af en certifikatudsteder, der er tillid til. Derfor kan en angriber udstede et forfalsket bevis til den server, som appen kommunikerer med.

I november lancerede sikkerhedsfirmaet Fallible et gratis online værktøj til at analysere apps til Android. Siden da har firmaet selv og andre brugere anvendt værktøjet til at analysere godt 16.000 apps.

Analysen ser blandt andet på, om appen indeholder nøgler eller andre fortrolige oplysninger. Det gjorde godt 2.500 apps. Mange af nøglerne er dog harmløse og kan ikke misbruges.

304 apps indeholdt nøgler, som giver adgang til API'erne (Application Programming Interface) hos en række webtjenester. Blandt de berørte tjenester var Twitter, Instagram og Uber.

Sikkerhedsforskere har fundet usikre implementeringer af standarden OAuth 2.0 i fire ud af ti apps til smartphones og tablet.

OAuth 2.0 blev oprindelig udviklet for at gøre det at dele autentifikationsdetaljer mellem websteder. På den måde kan brugeren fx logge ind på Facebook og derefter genbruge sit login til at få adgang til andre tjenester, der samarbejder med Facebook.

Siden er flere udviklere begyndt at bruge standarden til på samme vis at dele oplysninger med apps.