Store sikkerhetshull i over 1000 iOS-apper
Flere millioner brukere utsatt.
Foto: ©2015 iStockphoto LP
Over 1000 apper til iPhone og iPad er rammet av en svakhet som i verste fall kan gjøre enheten sårbar for uvedkommende på jakt etter krypterte passord, bankkontonumre og annen sensitiv informasjon.
Svakheten er knyttet til https-sikringen, som ellers skal sørge for å kryptere informasjonen som går fram og tilbake mellom en bruker og nettsiden vedkommende besøker.
Rammer millioner
Flere millioner brukere har ifølge analyseselskapet SourceDNA disse appene installert, noe som betyr at de tilsynelatende sikre dataene som sendes via de rammede appene likevel kan være tilgjengelig for folk med skumle hensikter.
Årsaken til hullet skyldes en feil i en nylig versjon av en liten kodebit ved navn AFNetworking. Verktøyet er basert på åpen kildekode, og brukes av app-utviklere for å gi appene de lager forskjellige nettverksmuligheter.
Til tross for at sikkerhetsselskapet Minded Security oppdaget og varslet om feilen allerede i mars, er det på langt nær alle utviklere som har tatt hensyn til dette og oppgradert appene sine til å bruke den nye og rettede kodesnutten.
Store aktører
At ikke alle utviklere følger med i timen kan man kanskje ikke forvente, men ifølge SourceDNA er det ikke bare småaktører som oppdaterte appene sine raskt nok.
Noe overraskende fant de også svakheten i apper fra selskaper som Yahoo, Microsoft, Uber og Citrix.
- Det forbløffer oss at en åpen kildekode som introduserte et sikkerhetshull i bare seks uker har gjort flere millioner brukere utsatt for angrep, skriver selskapet på bloggen sin.
Via en søketjeneste selskapet har laget kan man lett undersøke om produsentene av appene du bruker har tettet potensielle sikkerhetshull. I eksemplene ovenfor har alle unntatt Citrix nå oppdatert appene sine til mer sikre versjoner.
Det holder imidlertid ikke bare at utviklerne oppdaterer appene sine - dette er nok en påminnelse til folk flest om viktigheten av å alltid oppdatere alle apper og programvare så raskt som mulig når det slippes nye versjoner. Ofte slippes ikke disse bare for å innføre nye funksjoner, det kan like gjerne handle om sikkerhetshull produsentene ønsker å tette.
Via trådløst nett
For å utnytte dette sikkerhetshullet, må angripere scanne et trådløst nettverk for eksempel på en kafé eller et hotell på jakt etter enheter som overfører informasjon via en av de utsatte appene.
Om de får napp, kan de sende et falskt SSL-sertifikat til enheten. I vanlige tilfeller ville disse blitt blankt avvist av enheten, men på grunn av den aktuelle svakheten slipper de falske sertifikatene likevel gjennom. Disse tas dermed som god fisk av iOS-enheten, noe som tillater angriperne å avkryptere og lese data som sendes via de rammede appene.
DETTE ER SSL
- Kort for Secure Sockets Layer, en standard sikkerhetsteknologi som sikrer en kryptert kobling mellom for eksempel en nettbank og nettleseren eller appen som kobler seg til denne.
- Tillater at sensitiv informasjon som bankkontonumre, brukernavn, passord og tilsvarende kan overføres sikkert.
- I en nettleser kan du gjerne se om en tilkobling er sikker ved at nettadressen begynner på https:// - det betyr at nettsiden har et gyldig SSL-sertifikat installert.
- Vanlig nett-trafikk som ikke er sikret med SSL (via nettadresser som begynner med bare http://) er derimot overført som ren tekst. Det gjør informasjonen svært tilgjengelig for uvedkommende som måtte «lytte på linja» - noe som er svært enkelt på for eksempel åpne trådløse nettverk.
NY MOBIL ELLER NETTBRETT
AKTUELT PÅ ONLINE
PC-en din kan bli "kidnappet"
Det finnes noen forholdsregler du kan ta.
Vær forsiktig med åpne, trådløse nett
Du kan bli hacket selv med mobilen i lomma.
