Et nytt sikkerhetshull oppdaget på iPhone gjør det mulig for uvedkommende å installere apper som gir tilgang på din private data. Foto: Apple
Det amerikanske sikkerhetsselskapet FireEye har avdekket en iPhone-svakhet som gjør det mulig for hackere å hente ut sensitiv informasjon fra nesten alle iPhone-modeller som er på markedet.
På firmaets hjemmeside forklares det hvordan hackere kan foreta et «maskert» angrep mot en iPhone, ved å late som om de installerer en uskyldig app - for eksempel et spill.
I virkeligheten lastes det i stedet ned en modifisert kopi av en helt annen app, som uten at brukeren oppdager gir hackerne full tilgang til brukerens private data.
Maskerer seg som populært spill
I eksempelet fra FireEye, mottar telefonen en tekstmelding der brukeren får tilbud om å installere en ny versjon av det populære spillet «Flappy Bird».
Om man takker ja til dette, ser det tilsynelatende ut som om telefonen faktisk installerer «Flappy Bird».
Men som du kan se i videoen under, er det i virkeligheten en helt ny og hacket versjon av Gmail som kjøres inn på telefonen. Samme metode kan også brukes til å duplisere for eksempel en nettbank-app.
Om du er uoppmerksom i et par sekunder mens originalappen oppdateres, vil du i praksis aldri kunne oppdage at hackere har overskrevet den med sin egen versjon - og nå har tilgang til dataen din.
Rammer nesten alle iPhoner
Måten dette er mulig på, er at iPhoner med iOS-versjon 7.1.1, 7.1.2, 8.0, 8.1 og 8.1.1 beta - det utgjør nesten 95 prosent av alle som er på markedet - ikke sjekker om såkalte sertifikater til alle tredjeparts-apper stemmer overens med det som faktisk blir installert.
I praksis betyr det at alle apper bortsett fra dem som kommer forhåndsinstallert på telefonen kan byttes ut med en falsk versjon - uten at telefoneieren merker det.
I tillegg er sikkerhetshullet helt uavhengig av om du selv har såkalt «jailbreaket» telefonen, altså åpnet den for å bruke apper fra utenfor AppStore. Helt butikknye telefoner er dermed også utsatt.
Telefonen din kan dessuten hackes over trådløst internett, noe som øker risikoen betraktelig.
Sikkerhetsfirmaet FireEye varslet Apple om sikkerhetshullet allerede i sommer, men ettersom det ennå ikke er tettet valgte de nå å gå ut offentlig med informasjonen.
Hvordan sikrer du deg?
FireEye kommer heldigvis ikke bare med skremmende trusler, de forteller oss også hvordan vi kan sikre oss mot maskerte angrep av denne sorten.
Her er tre forholdsregler:
- Ikke installer apper fra andre kilder enn Apples offisielle app-butikk AppStore - eventuelt bare fra din egen organisasjon, om dere har et system for å installere egne apper.
- Aldri trykk «installer» på en popup-forespørsel om slikt fra en tredjeparts nettside. Dette gjelder uansett hva som står beskrevet om appen i beskjeden. Husk at det er her du ofte blir lurt, ved at hackerne later som om du får en spennede app du kanskje har lyst på.
- Om du installerer en app, og får en advarsel fra telefonen om en «uidentifisert app-utvikler», må du med en gang trykke på valget om ikke å stole på denne, og straks avinstallere appen (trykk lenge på appen til den «dirrer», og trykk på X-symbolet).
Vær varsom!
- Stadig vekk oppdages nye sikkerhetshull på datamaskiner og mobiltelefoner som potensielt kan gi uvedkommende tilgang på din private data.
- Ofte kan slike angrep muliggjøres av at brukeren selv tillater det, men dette skjer som regel på så finurlige måter at selv erfarne brukere ikke er sine handlinger bevisst. For eksempel kan angrepet være kamuflert som noe så uskyldig som installasjonen av et iPhone-spill.
- Vær derfor alltid obs på spørsmål om tillatelse til å installere noe, spesielt om du ikke har spurt om det selv. Vær også skeptisk til programvare som ikke kommer fra offisielle kanaler, som AppStore på iPhone.
AKTUELT PÅ ONLINE
Nasjonal Sikkerhetsmåned
- Det farligste på nettet er deg selv
Advarer mot ny SMS-svindel
- Ikke ring nummeret, slett meldingen!
Tar strupetak på svindlerne
1,5 millioner svindelforsøk over telefon har blitt stoppet i år.
Beskytt deg mot phishing
Svindlerne sender deg mailer fisker ut sensitiv informasjon.
– Ikke snakk i mobilen på gata i utlandet
Antall mobiltyverier i utlandet øker.