App, app, app...

Publicerad 2010-09-02 16:55

Höstens första säkerhetskrönika kommer från Datormagazins nya krönikör och tillika IT-säkerhetsexpert Per Hellqvist på Symantec. Han ser nya säkerhetshot i alla våra nedladdade mobilapplikationer.

SÄKERHETSKRÖNIKA: Antalet smarta telefoner bara ökar - Iphone 4 har fått ett varmt välkomnande på marknaden och programmen, ”apparna”, flödar. Det är inte bara prylen vi vill åt utan även allt det där vi kan fylla den med. Roliga och smarta applikationer som på minuten ger oss underhållning eller hjälp i vardagen. När allt fler företag, konsumenter och offentliga verksamheter nu använder smarta telefoner är det givet vad som står för dörren. Cyberbrottslingarna har fått en ny arena för sina attacker.

Enligt en rapport från Juniper Research (Next Generation Smartphones) förväntas antalet nedladdningar av konsumentapplikationer stiga från knappt 2,6 miljarder år 2009 till över 25 miljarder år 2015. Med ett så högt antal nedladdningar kan även ett fåtal elaka applikationer ställa till med oreda. Så, vad kommer egentligen den snabba ökningen av applikationer betyda för smarta telefoner och andra uppkopplade prylars säkerhet? Hur kommer de öppna systemen och applikationernas natur att påverka marknaden och utvecklingen? Och vad innebär detta för användarna?

Som ofta utgår vi människor ifrån devisen ”det händer inte mig”. Jag tror att hela systemet för mobila applikationer bygger på en förutsatt, upplevd trygghet. Och de flesta applikationer är förstås harmlösa. Än så länge. Men omsorgsfullt skapade appar kan verka säkra till och med för den erfarna användaren. När man installerar en applikation på sin Android-telefon får man en upplysning om att applikationen kommer att få tillgång till uppgifter och funktioner på telefonen. Men hur många användare förstår egentligen vad det innebär? Än så länge finns det ingen som granskar dessa applikationer. Hela systemet för applikationer behöver således anpassas till att användarnas upplevda trygghet stämmer överens med verkligheten. Det gäller att minska klyftan mellan den upplevda och faktiska säkerhetsnivån.

När två misstänkta Android-appar upptäcktes i slutet av juni agerade Google och tog bort dessa från användarnas telefoner (vilket var bra gjort). Men är reaktiva åtgärder den metod vi vill använda oss av för att garantera användarnas säkerhet i framtiden? Svaret är nej. Givetvis behöver vi en mer proaktiv inställning från både operativsystemsleverantörer, operatörer och säkerhetsföretag. Vi måste se till att det inte finns en okontrollerad marknad där skapare av skadlig kod kan verka fritt, där det blir upp till dig som användare att försöka upptäcka om applikationen är illasinnad eller inte. För att lyckas med att stävja de här säkerhetshoten krävs inte bara reaktiva åtgärder och säkerhetsprogram, utan även att alla aktörer arbetar tillsammans för att förse användarna med inbyggda och tillförlitliga säkerhetslösningar.

Självklart konkurrerar operativsystemsleverantörerna om att hela tiden erbjuda det bästa och senaste inom sitt område. Att ytterligare öppna upp system eller lägga till mer sofistikerade gränssnitt för applikationsprogrammering är dock inte riskfritt. Ju fler funktioner de snälla applikationerna får tillgång till, desto större spelrum får även de skadliga. Konkurrensen och det höga tempot i utvecklingen leder till ökade säkerhetsrisker för både operatörer och användare.

Den snabbt växande marknaden för den öppna källkoden Android visar tydligt på riskerna. Där är det upp till allmänheten att använda, testa och fastställa säkerheten hos applikationerna. Nätfiskeapplikationen för banker som skapades av Droid09 innehåller till exempel skadlig kod som försöker komma åt bankinformation på mobilen. När användaren väl har installerat och konfigurerat applikationen med sin kontoinformation försöker applikationen komma åt den finansiella informationen. Android har i skrivande stund också drabbats av sin första SMS-trojan: AndroidOS.FakePlayer. Den ser ut som en ofarlig mediespelarapplikation men är konstruerad för att skicka SMS till betalnummer.

Nyligen har även Iphone 4:s “jailbreak”-kod öppnat upp dörrarna till Apple-prylar då koden gjort dem mer mottaliga för angrepp. Sårbarheten i enheter som använder sig av den här koden kan även utnyttjas till att utföra andra attacker mot användarna. Även om vi hittills bara sett ett enda och dessutom ofarligt exempel på detta är det fullt möjligt att utnyttja det för skadliga ändamål. Jag skulle inte bli förvånad om vi kommer att se mer av det inom en ganska snar framtid.
Per Hellqvist

Av: Per Hellqvist, Symantec