Sjusk med apps giver hackere adgang til dine data

Tyske forskere afslører, at populære mobilapplikationer sjusker med sikkerheden, så hackere kan få adgang til folks personlige data.

Sikkerhedseksperter har afdækket en brist i den måde, som tusinder af de populære mobilapplikationer gemmer data på online. Dermed vil hackere kunne tilgå folks personlige oplysninger som kodeord, adresser og geodata. Arkivfoto: Dado Ruvic, Reuters/Scanpix Fold sammen
Læs mere
Foto: Dado Ruvic

Et nyopdaget sikkerhedshul i den måde, som tusinder af populære mobilapplikationer lagrer data på nettet på, gør det muligt for hackere at få fat i folks personlige oplysninger som kodeord, adresser og geodata.

Det er et hold tyske sikkerhedsforskere fra Fraunhofer Institut og Darmstadts Tekniske Universitet, som har fundet 56 millioner ubeskyttede data i apps, som de studerede. Det er både spil, sociale netværk, beskedprogrammer, sundhedsprogrammer og bankprogrammer, skriver nyhedsbureauet Reuters.

Vil ikke sætte navn på synderne

På baggrund af opdagelsen anslår forskerne, at det virkelige antal ubeskyttede data vil skulle regnes i milliarder. Forskerne vil ikke sætte navn på de applikationer, som de har gennemset, men der er tale om titusinder, og de omfatter nogle af de mest populære af slagsen til både Apple iOS- og Google Android-telefoner.

Problemet ligger i den måde, som udviklerne af applikationerne kontrollerer brugeroplysninger på, når data skal gemmes på de store netlagre, f.eks. Amazons Web Services eller Facebooks Parse. De fleste udviklere vælger standardopsætningen for beskyttelse af data. Den består af en række bogstaver og tal, som ligger skjult i programkoden til softwaren (i fagjargon kaldet et »token«). Ifølge de tyske forskere kan hackere let trække disse oplysninger ud af en app, og dermed får de adgang til alle brugeres private data, som den pågældende applikation gemmer på serveren.

Der er ikke noget, der tyder på, at metoden endnu er blevet misbrugt.

Apple arbejder på en advarsel

Apple vil ifølge forskerne nu lægge en advarsel til udviklere ind om at dobbeltchecke deres sikkerhedsindstillinger, inden de lægger applikationer i Apples netbutik, App Store. Google har ikke villet kommentere opdagelserne, mens det ikke er lykkedes Reuters at få en kommentar fra hverken Apple eller Amazon. Facebook har taget kontakt til de berørte udviklere.

Det kræver en større indsats at sikre data fra mobilt udstyr i forhold til på stationære eller bærbare PCer. Samtidig er der ofte pres på for at få mobilapplikationer hurtigt ud, hvorved ikke alle detaljer er dobbeltchecket forinden. Internetsikkerhedsfirmaet Fireeye oplever regelmæssigt, at brugeres navne og kodeord sendes ukrypteret af sted, hvorved andre kan opsnappe dem undervejs.